ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services

 

Vulnerabilidad de ejecución remota de código del protocolo de escritorio remoto: CVE-2022-21893

Microsoft parcheó 97 CVE en el lanzamiento del martes de parches de enero de 2022, incluidos nueve calificados como críticos y 88 calificados como importantes. Hoy aquí vamos a ver la vulnerabilidad reciente en RDP que afectará las conexiones remotas, que se parchó recientemente. Microsoft Windows Server 2012 R2 se ve afectado por una vulnerabilidad en el protocolo de Servicios de escritorio remoto que les permite a los atacantes conectarse a un sistema remoto a través de RDP, lo que allana el camino para obtener acceso al sistema de archivos en las máquinas de otros usuarios conectados.

Vulnerabilidad:

CVE: CVE-2022-21893
Nombre: vulnerabilidad de ejecución remota de código del protocolo de escritorio remoto

Recurso afectado: Microsoft Windows Server 2012 R2

La vulnerabilidad se corrigió esta semana en el conjunto de actualizaciones de seguridad de Microsoft para enero de 2022.

¿Dónde se usa Microsoft RDP?

En las organizaciones, la mayoría de las mesas de ayuda de TI y los servicios de soporte utilizan RDP para una variedad de propósitos. Los usuarios pueden acceder y controlar los sistemas de Windows desde clientes remotos, incluso si trabajan localmente con la ayuda de Microsoft RDP.

Cómo se ve la información a través de RDP:

Una sola conexión RDP se puede dividir en varios canales virtuales.

Se utiliza un servicio de Windows denominado “canalizaciones con nombre” para transferir datos desde estos canales a otros procesos.

En una máquina con Windows, las canalizaciones con nombre son una forma de que dos procesos se comuniquen entre sí. Los servicios de escritorio remoto de Windows utilizan canalizaciones con nombre para transferir datos entre el cliente y el sistema remoto, como datos en portapapeles y datos de autenticación de tarjetas inteligentes.

Esta vulnerabilidad permite al usuario crear una instancia de servidor de canalización con nombre de tal manera que ciertos datos que viajan entre el sistema remoto y el cliente fluyen esencialmente a través de sus canalizaciones creadas con fines malintencionados.

El atacante puede hacer uso de esta vulnerabilidad para realizar un ataque de intermediario para interceptar datos como los que se encuentran en los portapapeles de los dispositivos cliente conectados al sistema remoto o los PIN de tarjetas inteligentes que un usuario podría ingresar para autenticarse en el cliente dispositivo.

Después de explotar con éxito la falla, los atacantes podrán acceder y modificar la información en el portapapeles, así como falsificar las identidades de varios usuarios que iniciaron sesión en la máquina para escalar los privilegios.

Impactos:

Cualquier usuario sin privilegios conectado a una máquina remota a través de RDS podría aprovechar la falla para interceptar, acceder y modificar datos de las sesiones de otros usuarios en la misma máquina remota.

Esto podría aprovecharse para obtener acceso a los sistemas de archivos de las máquinas cliente de otros usuarios y usar tarjetas inteligentes y números PIN de otros usuarios para autenticarse, suplantando efectivamente la identidad de la víctima. Esto, a su vez, puede resultar en una escalada de privilegios.

Punto de apoyo inicial a través de RDP:

RDP se utiliza para ganar terreno inicial para la mayoría de los ataques. Para piratear una red, los actores de amenazas solo necesitaban buscar máquinas que tuvieran servicios RDP expuestos a Internet. A lo largo de los años, los agentes de acceso inicial han compilado una amplia lista de servidores con servicios RDP expuestos que han puesto a disposición de los operadores de ransomware y otras organizaciones de amenazas mediante el pago de una tarifa.

BlueKeep (CVE-2019-0708), una grave vulnerabilidad de ejecución remota de código en RDP descubierta por investigadores en 2019, es un ejemplo. Varias versiones heredadas de Windows, incluidas Windows XP, Windows 7 y Windows Server 2008, se vieron afectadas por el error. Otro ejemplo es la divulgación de Check Point de un llamado problema RDP inverso (CVE-2019-0887) en Black Hat USA 2019.

Algunos ejemplos para ingresar al sistema:

Se pueden conectar varios dispositivos cliente a un sistema remoto. Los usuarios se conectan a un jump box para obtener acceso a una red interna.
Otro ejemplo sería un entorno de escritorio basado en sesiones, en el que varios usuarios se conectan a la misma máquina y ejecutan aplicaciones.
Usar técnicas simples de ingeniería social para persuadir a los usuarios con privilegios elevados para que inicien sesión en un sistema al que el atacante ya tiene acceso, como otro servidor o una estación de trabajo personal.

Las actualizaciones incluyeron parches para lo siguiente:

 

  • .NET Framework
  • Microsoft Dynamics
  • Microsoft Edge (Chromium-based)
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Microsoft Teams
  • Microsoft Windows Codecs Library
  • Open Source Software
  • Windows Hyper-V
  • Tablet Windows User Interface
  • Windows Account Control
  • Windows Active Directory
  • Windows AppContracts API Server
  • Windows Application Model
  • Windows BackupKey Remote Protocol
  • Windows Bind Filter Driver
  • Windows Certificates
  • Windows Cleanup Manager
  • Windows Clipboard User Service
  • Windows Cluster Port Driver
  • Windows Common Log File System Driver
  • Windows Connected Devices Platform Service
  • Windows Cryptographic Services
  • Windows Defender
  • Windows Devices Human Interface
  • Windows Diagnostic Hub
  • Windows DirectX
  • Windows DWM Core Library
  • Windows Event Tracing
  • Windows Geolocation Service
  • Windows HTTP Protocol Stack
  • Windows IKE Extension
  • Windows Installer
  • Windows Kerberos
  • Windows Kernel
  • Windows Libarchive
  • Windows Local Security Authority
  • Windows Local Security Authority Subsystem Service
  • Windows Modern Execution Server
  • Windows Push Notifications
  • Windows RDP
  • Windows Remote Access Connection Manager
  • Windows Remote Desktop
  • Windows Remote Procedure Call Runtime
  • Windows Resilient File System (ReFS)
  • Windows Secure Boot
  • Windows Security Center
  • Windows StateRepository API
  • Windows Storage
  • Windows Storage Spaces Controller
  • Windows System Launcher
  • Windows Task Flow Data Engine
  • Windows Tile Data Repository
  • Windows UEFI
  • Windows UI Immersive Server
  • Windows User Profile Service
  • Windows User-mode Driver Framework
  • Windows Virtual Machine IDE Drive
  • Windows Win32K
  • Windows Workstation Service Remote Protocol

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados