Ngày 20 tháng 7 năm 2023Tin tức về hacker
Nếu có vẻ như Giao thức Máy tính Từ xa (RDP) đã tồn tại mãi mãi, thì đó là bởi vì nó (ít nhất là so với nhiều công nghệ phát triển và suy giảm chỉ trong vài năm). Phiên bản đầu tiên, được gọi là “Giao thức Máy tính Từ xa 4.0,” được phát hành vào năm 1996 như một phần của phiên bản Máy chủ Đầu cuối Windows NT 4.0 và cho phép người dùng truy cập và điều khiển từ xa các máy tính chạy Windows qua kết nối mạng.
Trong những thập kỷ qua, RDP đã trở thành một giao thức được sử dụng rộng rãi để truy cập và quản trị từ xa các hệ thống dựa trên Windows. RDP đóng một vai trò quan trọng trong việc cho phép làm việc từ xa, hỗ trợ CNTT và quản lý hệ thống, đồng thời đóng vai trò là nền tảng cho nhiều giải pháp máy tính từ xa và cơ sở hạ tầng máy tính để bàn ảo (VDI).
Nhược điểm của việc sử dụng rộng rãi RDP là lỗ hổng Thực thi mã từ xa (RCE) trong cổng RDP có thể gây ra hậu quả nghiêm trọng, có khả năng dẫn đến thiệt hại đáng kể và ảnh hưởng đến tính bảo mật và tính toàn vẹn của hệ thống bị ảnh hưởng. Theo quan điểm của kẻ tấn công, khai thác lỗ hổng RCE là một cách để đạt được quyền truy cập trái phép vào hệ thống bị ảnh hưởng, cho phép chúng giành quyền kiểm soát hệ thống, bỏ qua các biện pháp bảo mật và thực hiện các hành động độc hại có thể bao gồm di chuyển ngang, đánh cắp dữ liệu, triển khai phần mềm độc hại, phá vỡ hệ thống, v.v.
Điều quan trọng cần lưu ý là mức độ nghiêm trọng của tác động sẽ phụ thuộc vào nhiều yếu tố khác nhau, bao gồm lỗ hổng cụ thể, ý định và khả năng của kẻ tấn công, tầm quan trọng của hệ thống được nhắm mục tiêu và các biện pháp bảo mật hiện có. Tuy nhiên, do khả năng truy cập trái phép, vi phạm dữ liệu và thỏa hiệp hệ thống, các lỗ hổng RCE trong RDP được coi là mối lo ngại bảo mật nghiêm trọng cần được chú ý và giảm thiểu ngay lập tức.
Đáng ngạc nhiên (chắc lưỡi), Microsoft gần đây đã xuất bản các bản tin bảo mật cho chính xác một kịch bản như vậy. Hãy vá lỗi!
DLL Hijacking được sử dụng để khai thác RDP – CVE-2023-24905
Tận dụng việc chiếm quyền điều khiển thư viện liên kết động (DLL), máy khách RDP đã bị xâm phạm khi nó cố tải một tệp từ thư mục làm việc hiện tại (CWD) thay vì thư mục HĐH Windows.
Từ blog của nhà nghiên cứu:
“Rõ ràng là chúng tôi có thể giả mạo các tài nguyên được tải bằng cách thay đổi các biểu tượng và chuỗi trong DLL, điều này sẽ tạo ra một vectơ tấn công lừa đảo thú vị. Trong trường hợp này, kẻ tấn công có thể thao túng các yếu tố trực quan, chẳng hạn như các biểu tượng và chuỗi trong DLL, để đánh lừa người dùng thực hiện một số hành động nhất định. Ví dụ: bằng cách thay đổi các biểu tượng và chuỗi, kẻ tấn công có thể làm cho thông báo lỗi trông giống như một thông báo hệ thống hợp pháp hoặc biến một hành động nguy hiểm (chẳng hạn như tải xuống tệp) thành một thứ gì đó dường như vô hại (như thực hiện cập nhật phần mềm).”
RCE xuất phát từ việc thay đổi chuỗi DLL thành một tệp độc hại, đặt nó vào một vị trí chia sẻ tệp thường được truy cập, sau đó lừa người dùng chạy nó. Thật thú vị, việc khai thác này chỉ ảnh hưởng đến các thiết bị chạy hệ điều hành Windows trên bộ xử lý máy RISC (ARM) tiên tiến. Cả RDP & Windows OS trên ARM thường được sử dụng trong các hệ thống điều khiển công nghiệp (ICS) và các môi trường công nghệ vận hành (OT) khác, khiến các doanh nghiệp công nghiệp và cơ sở hạ tầng quan trọng trở thành mục tiêu chính của việc khai thác này.
Lỗ hổng cổng RDP có thể đe dọa tuân thủ – CVE-2023-35332
Trong hoạt động bình thường, giao thức RDP Gateway tạo một kênh bảo mật chính bằng cách sử dụng Giao thức điều khiển truyền tải (TCP) và Bảo mật tầng truyền tải (TLS) phiên bản 1.2, một giao thức được chấp nhận rộng rãi để liên lạc bảo mật. Ngoài ra, một kênh phụ được thiết lập qua giao thức gói dữ liệu người dùng (UDP), triển khai bảo mật lớp truyền tải gói dữ liệu (DTLS) 1.0. Điều quan trọng là phải nhận ra rằng DTLS 1.0 đã ngừng hoạt động kể từ tháng 3 năm 2021 do các lỗ hổng bảo mật và rủi ro bảo mật đã biết.
Từ blog của nhà nghiên cứu:
“Lỗ hổng RDP Gateway này thể hiện cả rủi ro bảo mật đáng kể và vấn đề tuân thủ nghiêm trọng. Việc sử dụng các giao thức bảo mật lỗi thời và không dùng nữa, chẳng hạn như DTLS 1.0, có thể dẫn đến việc vô tình không tuân thủ các tiêu chuẩn và quy định của ngành.”
Kênh UDP thứ cấp có liên quan, đặc biệt là vì nó sử dụng một giao thức có nhiều vấn đề đã biết (DTLS 1.0). Thách thức lớn nhất là các nhà khai thác thậm chí có thể không biết rằng họ không tuân thủ giao thức lỗi thời này.
Phần kết luận
Để tránh hậu quả của những lỗ hổng này, điều tốt nhất cần làm là cập nhật ứng dụng khách và cổng RDP của bạn bằng các bản vá lỗi mà Microsoft đã phát hành. Nhưng chắc chắn sẽ có các RCE khác trên RDP và điều đó có nghĩa là bước quan trọng tiếp theo là vượt qua các tác nhân đe dọa bằng cách triển khai các biện pháp kiểm soát truy cập mạnh mẽ. Vì RDP được sử dụng rộng rãi trong các môi trường OT/ICS mà gần như không thể vá lỗi, điều đặc biệt quan trọng là các tổ chức chạy các hệ thống này phải tìm các công cụ bảo mật đáp ứng các yêu cầu đặc biệt của họ về tính khả dụng của hệ thống, an toàn vận hành, v.v.
