Remote Desktop Protocol Riddled With 16 Major Vulnerabilities
| リモートデスクトッププロトコルに問題:Check Pointが16もの脆弱性を見つけるが、マイクロソフトはパッチを適用しない
Check Pointのセキュリティ研究者は、Windows、Linux、およびMac用のRemote Desktop Protocol(RDP)クライアントに広範囲にわたる脆弱性を確認しました。
NASDAQに上場しているサイバーセキュリティ会社のチームは、合計25のRDPセキュリティ脆弱性を発見しました。
そのうちの16個が主要な脆弱性として識別されています。
RDPは、リモートコンピュータに接続したり作業したりするために、技術ユーザーやITスタッフによって一般的に使用されています。これはMicrosoftによって開発された独自のプロトコルです。
チェック・ポイントは、主にLinuxおよびMacユーザーによって使用されるRDPプロトコル用のオープンソース・クライアントとMicrosoft自身のクライアントの両方をテストしました。後者が識別のためにかなり多くの作業を要したとしても、それらすべてに深刻な脆弱性が見つかりました。
Check PointのEyal Itkinは次の脆弱性についてテストしました。
mstc.exe - Microsoftの組み込みRDPクライアント。
FreeRDP - Github上で最も人気があり成熟しているオープンソースのRDPクライアント。
rdesktop - Kali-linuxディストリビューションでデフォルトで利用可能な、より古いオープンソースのRDPクライアント。
彼のチームは、エンドユーザーのマシンを使用して組織のフードチェーンの上位に移動し、ターゲットのインフラストラクチャ内での横方向の移動を増やすことができるようにネットワークのアクセス許可を強化する方法を探していました。
Check Pointの例は次のとおりです。
1)企業ネットワーク内の感染したワークステーションに接続するITメンバーを攻撃することで、より高い権限レベルとネットワークシステムへのアクセスを獲得する
2)リモートサンドボックス仮想マシンに接続するマルウェア研究者を攻撃するテスト済みのマルウェアを含むマシン。これにより、マルウェアはサンドボックスを回避し、企業ネットワークに侵入することができます。」
15個の脆弱性により、リモートでコードが実行される可能性があります。
チェックポイントは言った。オープンソースクライアントがパッチを発行している間、マイクロソフトは提出から8週間後に問題が「有効」であると判断はされたが「当社の修正基準を満たしていない」と答えている。
その結果、パストラバーサルにはCVE-IDがなく、それに対処するためのパッチもありません。 |
Microsoft が脆弱性を指摘してもそれを認めないのはよくある事です ((・ω・))
例えば、 IEXPRESS の脆弱性も、修正基準を満たさないからと言って未だに修正されておらず、Windows のレガシーアップデートは 最近作られたものでさえ脆弱性を持っています。
|
リモートデスクトッププロトコルの悪用:クリップボードでいたずらが…。
Check Point(IDAを使用してマイクロソフトのRDPクライアントをリバースエンジニアリングする)。
クライアントがRDP接続を介して「コピー&ペースト」機能を使用すると、悪意のあるRDPサーバーはクライアントのアクセス許可によってのみ制限され、クライアントのコンピュータ上の任意のファイルの場所に任意のファイルを透過的にドロップできます。
「たとえば、悪意のあるスクリプトをクライアントの「スタートアップ」フォルダにドロップすると、再起動後に彼のコンピュータ上で実行され、完全に制御できるようになります」と、彼らは言いました。
「我々の悪用では、我々は単にrdpclip.exeを殺し、そして全ての「コピー&ペースト」操作に悪意のあるファイルを追加することによって、パストラバーサル攻撃を実行するために我々自身のプロセスを生み出しました。攻撃は「ユーザー」権限で行われており、攻撃者が「システム」またはその他の昇格された権限を持っている必要はありません。」
つまり、クライアントとサーバーは共通のクリップボードを介してデータを共有しますが、このチャネル上のデータトラフィックは適切にサニタイズされていないため、悪用される可能性があります。
チームは、ファジー技術ではなく「昔ながらの手動コード監査」を使用して、オープンソースクライアントに脆弱性を発見しました。(ファジングはターゲットに大量のデータを自動的に投げかけ、それがどのように反応するかを調べることを含みます。クラッシュすると、なぜ分析すると悪意のある第三者によって悪用される可能性がある脆弱性が明らかになる)。
MicrosoftのRemote Desktop Protocolクライアントのコードは、「受信ビデオの効率的なネットワークストリーミング、堅牢な入力チェック、および強力な解凍チェックのためのいくつかの最適化レイヤを備えている」と指摘しました。その結果、弱点を特定するために、より洗練されたメカニズムに目を向ける必要がありました。
そのアプローチの詳細を見るために、同社はこの分析を発表しました。RDPは、リモートコンピュータに接続するためにITスタッフや技術担当者によって定期的に使用されているため、Check Pointでは、RDPクライアントにパッチを適用することを強くお勧めします。
「さらに、マイクロソフトのRDPクライアントで示したクリップボードの発見事項の性質上、リモートマシンに接続するときは、クリップボードの共有チャネルを無効にすることをお勧めします(デフォルトではオン)。
|
確かにやばい脆弱性ですね。
このニュース2月の物なのですが、5月になってようやくMicrosoft は重い腰を上げたという事でしょうか (・ω・)
Translate
Comments