Bug RDP Windows yang Meluas dan Mudah Dieksploitasi Membuka Pengguna terhadap Pencurian Data

Pipa
Remote Desktop Protocol (RDP) memiliki bug keamanan yang memungkinkan pengguna Joe-Schmoe standar dan tidak memiliki hak untuk mengakses mesin pengguna lain yang terhubung. Jika dieksploitasi, ini dapat menyebabkan masalah privasi data, pergerakan lateral, dan eskalasi hak istimewa, para peneliti memperingatkan.

Penyerang orang dalam dapat, misalnya, melihat dan memodifikasi data clipboard orang lain atau meniru pengguna lain yang masuk menggunakan kartu pintar.

Kerentanan, dilacak sebagai CVE-2022-21893, tidak populer di tengah mega-dump pembaruan keamanan Patch Tuesday yang ramai kemarin, tetapi itu lebih dari layak untuk diteliti, menurut laporan Selasa dari CyberArk. Perusahaan telah menemukan bug yang bersembunyi di Windows Remote Desktop Services.

Terlebih lagi, ini adalah masalah yang tersebar luas. Bug tersebut setidaknya berasal dari Windows Server 2012 R2, arsitek perangkat lunak CyberArk dan juara keamanan Gabriel Sztejnworcel menulis, memimpin perusahaan untuk menyimpulkan bahwa versi terbaru Windows – termasuk edisi klien dan server – terpengaruh. sebagian besar versi Windows yang digunakan saat ini terpengaruh,” dia menegaskan.

Ini juga mudah dieksploitasi. Microsoft mengatakan bahwa eksploitasi kerentanan akan memiliki kompleksitas yang rendah. mengarah ke peringkat kekritisan CVSS 7,7 dari 10, menjadikannya “penting” dalam tingkat keparahan.

Memahami Plumbing Pipa RDP

Sztejnworcel menulis dengan sangat rinci tentang cara kerja serangan, tetapi beberapa dasar pada pipa RDP mencakup fakta bahwa RDP membagi satu koneksi menjadi beberapa koneksi logis yang disebut saluran virtual untuk menangani berbagai jenis data. Beberapa saluran bertanggung jawab atas fungsionalitas inti RDP, seperti data grafis dan input, dan saluran lain menangani ekstensi protokol, seperti clipboard, drive, dan pengalihan printer.

“Ada juga API untuk bekerja dengan saluran virtual yang memungkinkan penulisan aplikasi yang berkomunikasi dengan klien RDP melalui saluran virtual khusus,” jelas CyberArk, menunjuk ke posting blog yang menjelaskan dasar-dasar protokol RDP.

Kerentanan melibatkan permukaan serangan yang disajikan oleh pipa bernama, yang merupakan metode umum untuk komunikasi antarproses dalam Windows dan yang bekerja di model klien/server.

Kedua sisi menentukan nama pipa dalam format: .pipename (untuk server atau untuk klien yang terhubung ke pipa bernama lokal); atau, \hostnamepipename (untuk klien yang terhubung ke pipa bernama jarak jauh). Baik klien dan server menggunakan fungsi WriteFile dan ReadFile untuk bertukar data setelah koneksi dibuat.

Biasanya memiliki satu proses server yang menangani banyak klien dengan membuat beberapa contoh server pipa, yang berarti bahwa proses server akan memanggil CreateNamedPipe beberapa kali dengan nama pipa yang sama, CyberArk menjelaskan.

“Setiap kali akan mendapatkan contoh server baru,” menurut penulisan. “Ketika klien terhubung ke server pipa bernama, itu terhubung ke satu instance. Jika ada beberapa instans yang tersedia, klien akan terhubung ke salah satu yang dibuat terlebih dahulu [FIFO, atau first-in, first-out memesan].”

Tetapi karena setiap panggilan ke CreateNamedPipe independen, proses yang berpotensi berbahaya dapat membuat instans server pipa dari nama yang sama. “Menggabungkan ini dengan perilaku FIFO, kita dapat mulai melihat bagaimana ini dapat menyebabkan beberapa masalah,” lanjut Sztejnworcel. Proses

A dapat membuat instance server pipa dengan nama server pipa yang ada, jika deskriptor keamanan dari instance pertama memungkinkan, katanya. Dan, pada kenyataannya, itulah yang dilakukan oleh deskriptor keamanan TSVCPIPE: Ini “memungkinkan setiap pengguna untuk membuat instance server pipa dengan nama yang sama,” katanya, sementara data dikirim melalui pipa “dalam teks yang jelas dan tanpa pemeriksaan integritas apa pun. ”

The Attack

Dengan latar belakang itu, CyberArk menguraikan serangan dasar ini:

    Penyerang terhubung ke mesin jarak jauh melalui RDP

    Penyerang membuat daftar pipa bernama terbuka dan menemukan nama lengkap pipe

    TSVCPIPE Penyerang membuat instance server pipa dengan nama yang sama dan menunggu untuk koneksi baru

    Setelah koneksi baru tiba, RDS membuat instance server pipanya sendiri untuk sesi dan klien pipa yang akan mencoba untuk terhubung ke itu

    Karena FIFO, klien pipa akan terhubung ke server pipa penyerang, bukan yang dibuat oleh layanan RDS

    Penyerang terhubung sebagai klien ke contoh server pipa RDS nyata

    Penyerang memegang kedua ujung koneksi; mereka dapat bertindak sebagai man-in-the-middle (MitM), meneruskan data bolak-balik, melihat dan (opsional) memodifikasi proses it

MiTM mencegat komunikasi TSVCPIPE. Sumber: CyberArk.

CyberArk menyatukan langkah-langkah tersebut untuk membuat serangan MitM, yang ditunjukkan dalam video dalam laporannya, yang mencetak data yang melewati pipa. Seperti yang ditunjukkan video, para peneliti dapat melihat data clipboard yang dapat terdiri dari gambar, file, atau teks yang mungkin berisi data pribadi atau data sensitif seperti kata sandi, “yang sering terjadi dalam sesi RDP,” kata Sztejnworcel.

Mengakses Lainnya Drive yang Dialihkan Pengguna, Kartu Cerdas

Tapi di mana asyiknya mencetak hanya data mentah? CyberArk mengatakan bahwa menyisir semua info yang dihasilkan oleh alat eksploitasi awalnya adalah “membosankan dan tidak praktis”, sehingga para peneliti memutuskan untuk menargetkan saluran pengalihan perangkat (RDPDR): salah satu dari beberapa saluran lain yang menggunakan pipa ini, yang masing-masing memiliki protokolnya sendiri.

Catatan: RDPDR sendiri adalah salah satu alat yang digunakan untuk mengeksploitasi kerentanan Windows RDP sebelumnya, CVE-2019-0708, yang merupakan kelemahan Microsoft BlueKeep yang dapat dicairkan yang membuat satu juta perangkat rentan terhadap serangan siber seperti WannaCry pada tahun 2019 .

“Saluran RDPDR digunakan untuk mengarahkan perangkat seperti drive dan kartu pintar dari mesin klien ke sesi jarak jauh,” jelas CyberArk. “Jika pengguna terhubung menggunakan kartu pintar (atau hanya mengarahkan kartu pintar mereka untuk menggunakannya dari dalam sesi), penyerang juga dapat mengambil alih kartu pintar pengguna dan menggunakannya seolah-olah terhubung ke mesin mereka.”

Tulisan melanjutkan: “Ketika korban memasukkan nomor PIN kartu pintar mereka, permintaan kontrol IO dikirim ke kartu pintar melalui saluran dengan nomor PIN dalam teks yang jelas, sehingga penyerang dapat melihatnya. Penyerang sekarang dapat terhubung ke sumber daya apa pun, di mesin yang sama atau di mesin lain, menggunakan kartu pintar dan nomor PIN korban, yang secara efektif meniru konteks keamanan korban. Jika korban masuk dengan akun istimewa, ini mengarah ke eskalasi hak istimewa.” Serangan

RDP setua kotoran, tetapi kerentanan baru ini menambahkan twist, menunjukkan “contoh vektor serangan tidak konvensional yang menargetkan RDP. Alih-alih memanfaatkan sisi input server/klien seperti biasanya, kami menyalahgunakan mekanisme internal server RDP sebagai titik masuk,” ringkasan laporan tersebut.

Sementara peneliti CyberArk memilih untuk fokus pada pengalihan drive dan kartu pintar, mereka mengatakan bahwa mereka percaya bahwa teknik yang sama akan bekerja dengan jenis perangkat, protokol, dan saluran lain, seperti printer, audio, perangkat USB, dan pengalihan otentikasi (melalui Remote Credential Guard).

Mereka “sangat” merekomendasikan penerapan patch yang dikeluarkan Microsoft pada hari Selasa, mengingat bahwa “hampir semua versi Windows terpengaruh.” Mereka juga menyarankan agar pengembang aplikasi yang menggunakan saluran virtual khusus “harus memeriksa apakah mereka rentan dan melakukan penilaian keamanan mereka sendiri.”

A Cara Baru untuk Menembak Bebek Duduk RDP Lama melihat kerumitan pengaturan RDP untuk pekerjaan jarak jauh, mencatat bahwa protokol itu sendiri “bukan pengaturan yang aman” dan oleh karena itu memerlukan “langkah-langkah keamanan tambahan untuk menjaga workstation dan server terlindungi.”

Mereka mengatakan bahwa tanpa protokol keamanan yang tepat, “organisasi menghadapi beberapa risiko potensial, termasuk peningkatan risiko serangan siber.”

Matt Dunn, direktur pelaksana asosiasi Kroll, menulis bahwa target umum serangan RDP “cenderung adalah bisnis kecil, karena mereka sering kekurangan sumber daya yang diperlukan untuk melindungi dan meresponsnya. ancaman.”

Cybercrooks suka menargetkan kerentanan RDP karena sejumlah alasan, dengan yang paling umum tujuan termasuk serangan penolakan layanan (DDoS) terdistribusi dan pengiriman ransomware.

Seiring meningkatnya pekerjaan jarak jauh, penjahat dunia maya telah memperhatikan peningkatan adopsi RDP – tidak sulit untuk dilakukan, mengingat pencarian Shodan sederhana mengungkapkan ribuan server rentan yang dapat dijangkau melalui internet, bersama dengan jutaan port RDP yang terbuka. Faktanya, antara Q1 dan Q4 2020, serangan terhadap RDP melonjak 768 persen, Dunn mencatat, sementara laporan Oktober 2020 yang diterbitkan oleh Kroll mengidentifikasi bahwa 47 persen serangan ransomware didahului oleh kompromi RDP.

Bud Broomhead, CEO di Viakoo, mengamati bahwa Kerentanan RDP “memungkinkan beberapa kegiatan kejahatan dunia maya terburuk, termasuk penanaman deepfake, eksfiltrasi data, dan pemalsuan identitas dan kredensial.”

He mengatakan kepada Threatpost pada hari Rabu bahwa sementara RDP diperlukan untuk pemeliharaan sistem normal, itu tidak dapat dibiarkan untuk berjalan sendirian. “Pertahanan tambahan seperti membangun kerangka tanpa kepercayaan dan memiliki metode otomatis untuk mengimplementasikan perbaikan firmware dengan cepat diperlukan untuk memastikan RDP digunakan dengan aman,” katanya melalui email.

CyberArk Temuan kerentanan RDP menggarisbawahi “realitas operasi yang penting,” menurut kepada Tim Wade, direktur teknis untuk tim CTO di Vectra. Yaitu, seperti yang dia katakan secara singkat kepada Threatpost pada hari Rabu, “berbagi memori dan menghitung dengan musuh adalah bisnis yang sangat berisiko!”

Photo milik PxHere.

PasswordReset: Acara Sesuai Permintaan: Perkuat 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web
  • Scroll to Top