Ataques RDP inversos: cómo proteger su organización
Check Point Research dijo que una PC remota infectada con algún malware podría apoderarse de los clientes que intentan conectarse a ella. He aquí cómo prevenirlo.
El protocolo de escritorio remoto de Microsoft es una tecnología omnipresente integrada en Windows que permite que las PC y los dispositivos del cliente accedan y controlen remotamente las computadoras remotas. Pero RDP también es una tecnología vulnerable, plagada de varios agujeros y debilidades de seguridad. A los piratas informáticos les gusta explotar estas fallas para atacar cuentas y servicios de escritorio remoto como una forma de infiltrarse en las organizaciones. Un nuevo informe del proveedor de inteligencia de amenazas cibernéticas Check Point ilustra un tipo específico de ataque conocido como RDP inverso.
Check Point explicado en una publicación de blog publicada el jueves Cómo funciona un ataque RDP inversoEn este ejemplo, TI está intentando conectarse a una computadora remota en la oficina. Sin embargo, esta computadora ha sido infectada con un tipo específico de malware. El malware permite que las PC remotas ataquen las computadoras del personal de TI. Este ataque se llama Reverse RDP porque los usuarios creen que están controlando una PC remota, pero en realidad es todo lo contrario.
Mirar: Cómo trabajar desde casa: una guía para profesionales de TI sobre teletrabajo y trabajo remoto (República Tecnológica Premium)
En Black Hat 2023, Investigadores de Check Point revelan vulnerabilidad de RDP inversa, lo que demuestra que una computadora remota infectada con malware puede hacerse cargo de cualquier PC cliente conectada a ella. En octubre de 2023, Microsoft lanzó un parche (CVE-2023-0887) para corregir este defecto. Después de la investigación, Check Point se enteró de que el parche en sí contenía algún agujero de seguridad que podría permitir que alguien evadiera la solución y recreara la vulnerabilidad original. En febrero de 2023, Microsoft lanzó un nuevo parche (CVE 2023-0655) para corregir de manera más eficiente las fallas RDP inversas.
Sin embargo, Check Point descubrió una vulnerabilidad adicional relacionada con RDP. Una característica de la API de Microsoft Windows llamada «PathCchCanonicalize» debería brindar a las aplicaciones la protección necesaria contra una amenaza conocida como ataques de cruce de ruta. En este tipo de ataques, los piratas informáticos engañan a una aplicación en una computadora para que lea y revele el contenido de los archivos fuera del directorio raíz utilizado por la aplicación. Sin esta protección, los atacantes pueden acceder a datos confidenciales en diferentes partes del sistema de archivos, modificando así los archivos críticos.
En su investigación, Check Point pudo eludir las API oficiales de Windows que evitan los ataques de cruce de rutas. Aunque la vulnerabilidad original de Reverse RDP finalmente se parcheó correctamente, otros programas que usaban la función PathCchCanonicalize eran vulnerables al mismo tipo de ataque. Check Point dijo que se ha puesto en contacto con Microsoft para proporcionar los últimos hallazgos.
Mirar: Ciberseguridad: Let’s Tactics (PDF gratuito) (República tecnológica)
Para proteger a su organización de este tipo de ataques, Omri Herscovici, líder del equipo de investigación de vulnerabilidades de Check Point, ofrece los siguientes comentarios:
«Nuestros hallazgos se deben considerar en dos partes», dijo Herskovich. «La primera parte es que el personal de TI de las grandes empresas que usan Windows debe instalar el parche de febrero de Microsoft, CVE 2023-0655, para mantener a sus clientes RDP a salvo de los ataques que presentamos en BlackHat USA 2023. La segunda parte es para desarrolladores globales. Microsoft no solucionó las vulnerabilidades en su API oficial, por lo que todos los programas escritos de acuerdo con las mejores prácticas de Microsoft siguen siendo vulnerables a los ataques de cruce de ruta. Queremos que los desarrolladores sean conscientes de esta amenaza para que puedan revisar sus programas y aplicar parches manualmente para combatirla. «
