CyberArk Labs heeft nieuw
onderzoek gepubliceerd over een kwetsbaarheid in Windows Remote Desktop Protocol (RDP) waardoor elke gebruiker die via RDP is verbonden met een machine op afstand, toegang heeft tot de apparatuur van andere verbonden gebruikers. Elke organisatie het protocol gebruikt loopt in principe risico. Zodra het lek is misbruikt, kan een aanvaller een man-in-the-middle aanval uitvoeren. Hierdoor zijn bijvoorbeeld klembordgegevens van andere verbonden gebruikers te bekijken en te wijzigen, krijgt men toegang te krijgen tot de schijven/mappen van het slachtoffer en kan men zich voordoen als een andere gebruiker zelfs als die op de machine zijn ingelogd met behulp van smartcards, zoals bijvoorbeeld bij overheden gebeurt ter authenticatie.
De kwetsbaarheid is ontdekt door CyberArk software architect Gabriel Sztejnworcel en door Microsoft gekwalificeerd als ‘Belangrijk’. Vandaag, op Patch Tuesday, is er een
patch uitgerold. Er is vooralsnog geen aanwijzing gevonden dat de kwetsbaarheid grootschalig is misbruikt.
Windows RDP wordt wereldwijd door organisaties gebruikt. Omdat werken op afstand steeds populairder wordt is het een doelwit bij uitstek voor aanvallers. Onderzoekers van CyberArk hebben het lek kunnen benutten door een tool te ontwikkelen die misbruik maakt van de virtuele kanalen die Windows RDP gebruikt om te communiceren tussen de server en de client vanuit de machine. Zeker met het oog op het compromitteren van smartcards, die worden gebruikt voor verificatie, zouden aanvallers in staat zijn om verbinding te maken met elke bron, op dezelfde of andere machines, met behulp van de smartcard en PIN-code van het slachtoffer. Dit kan leiden tot een escalatie van toegangsrechten, waarmee een aanvaller stapsgewijs zichzelf meer toegangsrechten kan geven tot gevoelige gegevens.
Hoewel bestaande RDP-toegang tot een machine nodig is om de kwetsbaarheid uit te voeren, is het niet ongebruikelijk dat aanvallers de toegang aanhouden om te kunnen profiteren van een kwetsbaarheid. Daarom is het advies om de patch onmiddellijk toe te passen.
Het onderzoeksartikel en de bijbehorende aanvalsdemo's zijn te vinden op de site van
CyberArk.