Resumen: Una vulnerabilidad de severidad alta, fue registrada en el Protocolo de Escritorio Remoto (RDP) de Windows por investigadores de la firma en ciberseguridad de CyberArk, quienes advierten que su explotación podría permitirle a los atacantes acceder a los ordenadores para leer o manipular el contenido del portapapeles y el contenido del sistema de archivos de la víctima.
Rastreado como CVE-2022-21893, el fallo es un problema generalizado que afecta a las últimas versiones de Windows y resulta fácil de explotar (CVSS 7.7) En el informe publicado por el equipo de investigación de CyberArk, se profundizó en el desarrollo del ataque para ejecutar la explotación de la vulnerabilidad.
De primera instancia, el atacante debe conectarse a la máquina remota a través del RDP. El Protocolo de Escritorio Remoto (RDP) de Microsoft, se encarga de administrar de forma remota los equipos de Windows a través de una conexión de red. Es decir, que divide una única conexión en múltiples canales para manejar diferentes tipos de datos.
La superficie de ataque se centra en las tuberías con nombre, que son un método común para llevar a cabo la comunicación de diferentes procesos entre el servidor y el cliente conectado al mismo. Una vez establecida la conexión, ambos lados utilizan las funciones WriteFile y ReadFile para intercambiar datos.
Posteriormente, el atacante enumera las tuberías con nombre abiertas y encuentra el nombre completo de la tubería TSVCPIPE para después crear una instancia del servidor de tuberías con el mismo nombre y esperar una conexión. Más adelante cuando recibe la conexión, el protocolo RDS (Remote Desktop Services) genera su propia instancia de servidor de tuberías para la sesión y un cliente de tuberías intentará conectarse a él.
Finalmente, el atacante se conectará como cliente a la instancia real del servidor RDS para mantener ambos extremos de la conexión, manteniéndose en el medio y observando los datos intercambiados o modificándolos.
El desarrollo técnico de la explotación del fallo, fue empleado por los investigadores para crear un escenario objetivo en donde los atacantes logran imprimir los datos que pasan por las tuberías. En este caso desarrollaron una investigación en la redirección de dispositivos unidades y tarjetas inteligentes desde la máquina cliente a la sesión remota y cuando la víctima introducía su clave o PIN de su tarjeta, se enviaba una solicitud de control IO a la tarjeta inteligente a través del canal con el número PIN en texto claro, que el atacante podía ver.
Si bien los investigadores se centraron en la investigación de dispositivos unidades y tarjetas inteligentes, ellos mismos han recalcado que esta misma técnica podría ser aprovechada en protocolos y canales, como impresoras, dispositivos de audio, dispositivos USB y procesos de autenticación.
Por lo tanto, se le recomienda a todos los usuarios que mantengan las mejores prácticas de ciberseguridad y apliquen el parche que Microsoft publicó este martes.
Recomendaciones: Se le recomienda a todos los usuarios aplicar el parche proporcionado por Microsoft.
Referencias: https://threatpost.com/windows-bug-rdp-exploit-unprivileged-users/177599/ https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-21893
|
SÍGUENOS