Bug RDP Windows yang Meluas dan Mudah Dieksploitasi Membuka Pengguna terhadap Pencurian Data

Pipa
Remote Desktop Protocol (RDP) memiliki bug keamanan yang memungkinkan pengguna Joe-Schmoe standar dan tidak memiliki hak untuk mengakses mesin pengguna lain yang terhubung. Jika dieksploitasi, ini dapat menyebabkan masalah privasi data, pergerakan lateral, dan eskalasi hak istimewa, para peneliti memperingatkan.

Penyerang orang dalam dapat, misalnya, melihat dan memodifikasi data clipboard orang lain atau meniru pengguna lain yang masuk menggunakan kartu pintar.

Kerentanan, dilacak sebagai CVE-2022-21893, tidak populer di tengah mega-dump pembaruan keamanan Patch Tuesday yang ramai kemarin, tetapi itu lebih dari layak untuk diteliti, menurut laporan Selasa dari CyberArk. Perusahaan telah menemukan bug yang bersembunyi di Windows Remote Desktop Services.

Terlebih lagi, ini adalah masalah yang tersebar luas. Bug tersebut setidaknya berasal dari Windows Server 2012 R2, arsitek perangkat lunak CyberArk dan juara keamanan Gabriel Sztejnworcel menulis, memimpin perusahaan untuk menyimpulkan bahwa versi terbaru Windows – termasuk edisi klien dan server – terpengaruh. sebagian besar versi Windows yang digunakan saat ini terpengaruh,” dia menegaskan.

Ini juga mudah dieksploitasi. Microsoft mengatakan bahwa eksploitasi kerentanan akan memiliki kompleksitas yang rendah. mengarah ke peringkat kekritisan CVSS 7,7 dari 10, menjadikannya “penting” dalam tingkat keparahan.

Memahami Plumbing Pipa RDP

Sztejnworcel menulis dengan sangat rinci tentang cara kerja serangan, tetapi beberapa dasar pada pipa RDP mencakup fakta bahwa RDP membagi satu koneksi menjadi beberapa koneksi logis yang disebut saluran virtual untuk menangani berbagai jenis data. Beberapa saluran bertanggung jawab atas fungsionalitas inti RDP, seperti data grafis dan input, dan saluran lain menangani ekstensi protokol, seperti clipboard, drive, dan pengalihan printer.

“Ada juga API untuk bekerja dengan saluran virtual yang memungkinkan penulisan aplikasi yang berkomunikasi dengan klien RDP melalui saluran virtual khusus,” jelas CyberArk, menunjuk ke posting blog yang menjelaskan dasar-dasar protokol RDP.

Kerentanan melibatkan permukaan serangan yang disajikan oleh pipa bernama, yang merupakan metode umum untuk komunikasi antarproses dalam Windows dan yang bekerja di model klien/server.

Kedua sisi menentukan nama pipa dalam format: .pipename (untuk server atau untuk klien yang terhubung ke pipa bernama lokal); atau, \hostnamepipename (untuk klien yang terhubung ke pipa bernama jarak jauh). Baik klien dan server menggunakan fungsi WriteFile dan ReadFile untuk bertukar data setelah koneksi dibuat.

Biasanya memiliki satu proses server yang menangani banyak klien dengan membuat beberapa contoh server pipa, yang berarti bahwa proses server akan memanggil CreateNamedPipe beberapa kali dengan nama pipa yang sama, CyberArk menjelaskan.

“Setiap kali akan mendapatkan contoh server baru,” menurut penulisan. “Ketika klien terhubung ke server pipa bernama, itu terhubung ke satu instance. Jika ada beberapa instans yang tersedia, klien akan terhubung ke salah satu yang dibuat terlebih dahulu [FIFO, atau first-in, first-out memesan].”

Tetapi karena setiap panggilan ke CreateNamedPipe independen, proses yang berpotensi berbahaya dapat membuat instans server pipa dari nama yang sama. “Menggabungkan ini dengan perilaku FIFO, kita dapat mulai melihat bagaimana ini dapat menyebabkan beberapa masalah,” lanjut Sztejnworcel. Proses

A dapat membuat instance server pipa dengan nama server pipa yang ada, jika deskriptor keamanan dari instance pertama memungkinkan, katanya. Dan, pada kenyataannya, itulah yang dilakukan oleh deskriptor keamanan TSVCPIPE: Ini “memungkinkan setiap pengguna untuk membuat instance server pipa dengan nama yang sama,” katanya, sementara data dikirim melalui pipa “dalam teks yang jelas dan tanpa pemeriksaan integritas apa pun. ”

The Attack

Dengan latar belakang itu, CyberArk menguraikan serangan dasar ini:

Penyerang terhubung ke mesin jarak jauh melalui RDP

Penyerang membuat daftar pipa bernama terbuka dan menemukan nama lengkap pipe

TSVCPIPE Penyerang membuat instance server pipa dengan nama yang sama dan menunggu untuk koneksi baru

Setelah koneksi baru tiba, RDS membuat instance server pipanya sendiri untuk sesi dan klien pipa yang akan mencoba untuk terhubung ke itu

Karena FIFO, klien pipa akan terhubung ke server pipa penyerang, bukan yang dibuat oleh layanan RDS

Penyerang terhubung sebagai klien ke contoh server pipa RDS nyata

Penyerang memegang kedua ujung koneksi; mereka dapat bertindak sebagai man-in-the-middle (MitM), meneruskan data bolak-balik, melihat dan (opsional) memodifikasi proses it

MiTM mencegat komunikasi TSVCPIPE. Sumber: CyberArk.

CyberArk menyatukan langkah-langkah tersebut untuk membuat serangan MitM, yang ditunjukkan dalam video dalam laporannya, yang mencetak data yang melewati pipa. Seperti yang ditunjukkan video, para peneliti dapat melihat data clipboard yang dapat terdiri dari gambar, file, atau teks yang mungkin berisi data pribadi atau data sensitif seperti kata sandi, “yang sering terjadi dalam sesi RDP,” kata Sztejnworcel.

Mengakses Lainnya Drive yang Dialihkan Pengguna, Kartu Cerdas

Tapi di mana asyiknya mencetak hanya data mentah? CyberArk mengatakan bahwa menyisir semua info yang dihasilkan oleh alat eksploitasi awalnya adalah “membosankan dan tidak praktis”, sehingga para peneliti memutuskan untuk menargetkan saluran pengalihan perangkat (RDPDR): salah satu dari beberapa saluran lain yang menggunakan pipa ini, yang masing-masing memiliki protokolnya sendiri.

Catatan: RDPDR sendiri adalah salah satu alat yang digunakan untuk mengeksploitasi kerentanan Windows RDP sebelumnya, CVE-2019-0708, yang merupakan kelemahan Microsoft BlueKeep yang dapat dicairkan yang membuat satu juta perangkat rentan terhadap serangan siber seperti WannaCry pada tahun 2019 .

“Saluran RDPDR digunakan untuk mengarahkan perangkat seperti drive dan kartu pintar dari mesin klien ke sesi jarak jauh,” jelas CyberArk. “Jika pengguna terhubung menggunakan kartu pintar (atau hanya mengarahkan kartu pintar mereka untuk menggunakannya dari dalam sesi), penyerang juga dapat mengambil alih kartu pintar pengguna dan menggunakannya seolah-olah terhubung ke mesin mereka.”

Tulisan melanjutkan: “Ketika korban memasukkan nomor PIN kartu pintar mereka, permintaan kontrol IO dikirim ke kartu pintar melalui saluran dengan nomor PIN dalam teks yang jelas, sehingga penyerang dapat melihatnya. Penyerang sekarang dapat terhubung ke sumber daya apa pun, di mesin yang sama atau di mesin lain, menggunakan kartu pintar dan nomor PIN korban, yang secara efektif meniru konteks keamanan korban. Jika korban masuk dengan akun istimewa, ini mengarah ke eskalasi hak istimewa.” Serangan

RDP setua kotoran, tetapi kerentanan baru ini menambahkan twist, menunjukkan “contoh vektor serangan tidak konvensional yang menargetkan RDP. Alih-alih memanfaatkan sisi input server/klien seperti biasanya, kami menyalahgunakan mekanisme internal server RDP sebagai titik masuk,” ringkasan laporan tersebut.

Sementara peneliti CyberArk memilih untuk fokus pada pengalihan drive dan kartu pintar, mereka mengatakan bahwa mereka percaya bahwa teknik yang sama akan bekerja dengan jenis perangkat, protokol, dan saluran lain, seperti printer, audio, perangkat USB, dan pengalihan otentikasi (melalui Remote Credential Guard).

Mereka “sangat” merekomendasikan penerapan patch yang dikeluarkan Microsoft pada hari Selasa, mengingat bahwa “hampir semua versi Windows terpengaruh.” Mereka juga menyarankan agar pengembang aplikasi yang menggunakan saluran virtual khusus “harus memeriksa apakah mereka rentan dan melakukan penilaian keamanan mereka sendiri.”

A Cara Baru untuk Menembak Bebek Duduk RDP Lama melihat kerumitan pengaturan RDP untuk pekerjaan jarak jauh, mencatat bahwa protokol itu sendiri “bukan pengaturan yang aman” dan oleh karena itu memerlukan “langkah-langkah keamanan tambahan untuk menjaga workstation dan server terlindungi.”