CyberArk Labs: ‘Iedere gebruiker verbonden via Windows RDP kan andere gebruiker overnemen’

CyberArk Labs heeft nieuw onderzoek gepu­bli­ceerd over een kwets­baar­heid in Windows Remote Desktop Protocol (RDP) waardoor elke gebruiker die via RDP is verbonden met een machine op afstand, toegang heeft tot de appa­ra­tuur van andere verbonden gebruikers. 

Elke orga­ni­satie het protocol gebruikt loopt in principe risico. Zodra het lek is misbruikt, kan een aanvaller een man-in-the-middle aanval uitvoeren. Hierdoor zijn bijvoor­beeld klem­bord­ge­ge­vens van andere verbonden gebrui­kers te bekijken en te wijzigen, krijgt men toegang te krijgen tot de schijven/​mappen van het slacht­offer en kan men zich voordoen als een andere gebruiker zelfs als die op de machine zijn ingelogd met behulp van smart­cards, zoals bijvoor­beeld bij overheden gebeurt ter authenticatie.

De kwets­baar­heid is ontdekt door CyberArk software architect Gabriel Szte­jn­worcel en door Microsoft gekwa­li­fi­ceerd als ‘Belang­rijk’. Vandaag, op Patch Tuesday, is er een patch uitgerold. Er is voor­alsnog geen aanwij­zing gevonden dat de kwets­baar­heid groot­schalig is misbruikt.

Windows RDP wordt wereld­wijd door orga­ni­sa­ties gebruikt. Omdat werken op afstand steeds popu­lairder wordt is het een doelwit bij uitstek voor aanval­lers. Onder­zoe­kers van CyberArk hebben het lek kunnen benutten door een tool te ontwik­kelen die misbruik maakt van de virtuele kanalen die Windows RDP gebruikt om te commu­ni­ceren tussen de server en de client vanuit de machine. Zeker met het oog op het compro­mit­teren van smart­cards, die worden gebruikt voor veri­fi­catie, zouden aanval­lers in staat zijn om verbin­ding te maken met elke bron, op dezelfde of andere machines, met behulp van de smartcard en PIN-code van het slacht­offer. Dit kan leiden tot een escalatie van toegangs­rechten, waarmee een aanvaller staps­ge­wijs zichzelf meer toegangs­rechten kan geven tot gevoelige gegevens.

Hoewel bestaande RDP-toegang tot een machine nodig is om de kwets­baar­heid uit te voeren, is het niet onge­brui­ke­lijk dat aanval­lers de toegang aanhouden om te kunnen profi­teren van een kwets­baar­heid. Daarom is het advies om de patch onmid­del­lijk toe te passen.