16 Mar Vulnerabilidad en RDP y WinRM

En una falla descrita por un experto en seguridad como “fascinante”, los investigadores de seguridad encontraron un error lógico en el protocolo Credential Security Support Provider (CredSSP) utilizado por Remote Desktop y WinRM y que afectaba a todas las versiones compatibles de Windows.

La empresa de seguridad Preempt Security informó el error a Microsoft en agosto pasado y Microsoft lanzó una solución esta semana como parte del lanzamiento del parche de marzo. El error, CVE-2018-0886, fue calificado como “importante” por Microsoft, que es una designación de severidad mediana en la escala de Microsoft, en gran parte porque el nuevo defecto no es un vector inicial de infección.

De cualquier manera, un atacante debe estar dentro de la red y establecer un ataque de hombre en el medio (MITM) a través de métodos que podrían incluir el envenenamiento por ARP o incluso la nueva vulnerabilidad de WPA2 conocida como KRACK.

El protocolo CredSSP está diseñado para reenviar de forma segura las credenciales completas de un usuario a un servidor de destino. El error se basa en parte en el hecho de que el cliente confía en la clave pública proporcionada por el servidor. En el caso de una conexión RDP, un atacante interceptaría la solicitud de conexión inicial del cliente y devolvería un comando malicioso al cliente, que asume que el comando es en realidad una clave pública válida del servidor y lo firma. Esa versión firmada es transferida nuevamente por el MITM al servidor, que ejecuta el código malicioso, ahora firmado por el cliente, en el servidor.

Este defecto se posiciona como una técnica para el movimiento lateral y la escalada de privilegios. Uno de los escenarios más graves sería si el atacante intercepta un intento de un administrador de iniciar sesión remotamente en un controlador de dominio.

Dustin Childs de Trend Micro advirtió que aplicar el parche no es suficiente para estar completamente protegido. “Los administradores del sistema también deben habilitar la configuración de la directiva de grupo en sus sistemas y actualizar sus clientes de Escritorio remoto. Si bien estas configuraciones están deshabilitadas de manera predeterminada, Microsoft proporciona instrucciones para habilitarlas. Por supuesto, otra alternativa es deshabilitar completamente el RDP, pero dado que muchas empresas confían en este servicio, esa puede no ser una solución práctica “.

Microsoft también publicó un documento de soporte que describe los pasos necesarios para actualizar la Política de grupo o la configuración del Registro para proteger contra el error. En un paso relacionado, Microsoft planea actualizar el cliente de escritorio remoto el próximo mes para proporcionar más detalles en los mensajes de error cuando un cliente actualizado no puede conectarse a un servidor que no se ha actualizado.

Fuente: https://redmondmag.com