如果远程桌面协议 (RDP) 看起来似乎永远存在,那是因为它确实如此(至少与在短短几年内兴起和衰落的许多技术相比)。最初的版本称为“远程桌面协议 4.0”,于 1996 年作为 Windows NT 4.0 终端服务器版本的一部分发布,允许用户通过网络连接远程访问和控制基于 Windows 的计算机。
在接下来的几十年里,RDP 已成为一种广泛使用的协议,用于远程访问和管理基于 Windows 的系统。RDP 在实现远程工作、IT 支持和系统管理方面发挥着至关重要的作用,并已成为各种远程桌面和虚拟桌面基础设施 (VDI) 解决方案的基础。
RDP 广泛使用的缺点是 RDP 网关中的远程代码执行 (RCE) 漏洞可能会产生严重后果,可能导致重大损害并危及受影响系统的安全性和完整性。从攻击者的角度来看,利用 RCE 漏洞是一种对受影响系统进行未经授权访问的方法,使他们能够控制系统、绕过安全措施并执行恶意操作,包括横向移动、数据泄露、恶意软件部署、系统中断等。
值得注意的是,影响的严重程度取决于各种因素,包括具体的漏洞、攻击者的意图和能力、目标系统的重要性以及适当的安全措施。尽管如此,考虑到未经授权的访问、数据泄露和系统受损的可能性,RDP 中的 RCE 漏洞被认为是一个关键的安全问题,需要立即关注和缓解。
令人惊讶的是(开玩笑),微软最近针对这种情况发布了安全公告。请打补丁!
用于利用 RDP 的 DLL 劫持 - CVE-2023-24905#
利用动态链接库 (DLL) 劫持,RDP 客户端在尝试从当前工作目录 (CWD) 而不是 Windows 操作系统目录加载文件时遭到破坏。
来自研究人员的博客:
“很明显,我们可以通过更改 DLL 中的图标和字符串来欺骗加载的资源,这将提供一个有趣的网络钓鱼攻击向量。在这种情况下,攻击者可以操纵 DLL 中的视觉元素(例如图标和字符串)来误导用户执行某些操作。例如,通过更改图标和字符串,攻击者可以使错误消息看起来像合法的系统通知,或将危险操作(例如下载文件)转换为看似无害的操作(例如执行软件更新)。”
RCE 是将 DLL 字符串更改为恶意文件,将其放置在常用的文件共享位置,然后诱骗用户运行它。有趣的是,此漏洞仅影响在高级 RISC 机器 (ARM) 处理器上运行 Windows 操作系统的设备。ARM 上的 RDP 和 Windows 操作系统通常用于工业控制系统 (ICS) 和其他操作技术 (OT) 环境,使工业企业和关键基础设施成为此漏洞利用的主要目标。
RDP 网关漏洞可能威胁合规性 - CVE-2023-35332#
在正常操作下,RDP 网关协议使用传输控制协议 (TCP) 和传输层安全性 (TLS) 1.2 版(广泛接受的安全通信协议)创建主要安全通道。此外,还通过用户数据报协议 (UDP) 建立辅助通道,实现数据报传输层安全性 (DTLS) 1.0。重要的是要认识到,由于众所周知的漏洞和安全风险,DTLS 1.0 自 2021 年 3 月以来已被弃用。
来自研究人员的博客:
“此 RDP 网关漏洞既带来了巨大的安全风险,也带来了重大的合规性问题。使用已弃用和过时的安全协议(例如 DTLS 1.0)可能会导致无意中不遵守行业标准和法规。”
辅助 UDP 通道令人担忧,特别是因为它使用的协议存在许多已知问题 (DTLS 1.0)。最大的挑战是运营商甚至可能不知道他们不遵守这个过时的协议。
结论#
为了避免这些漏洞的后果,最好的办法是使用 Microsoft 发布的补丁更新 RDP 客户端和网关。但不可避免的是,RDP 上还会存在其他 RCE,这意味着下一步至关重要的是通过部署强大的访问控制来领先于威胁行为者。由于 RDP 广泛应用于几乎不可能修补的OT/ICS 环境中,因此运行这些系统的组织找到满足其在系统可用性、操作安全性等方面特殊要求的安全工具尤为重要。
原文始发于微信公众号(祺印说信安):RDP不安全的更多原因
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论