viernes, 24 de abril de 2020

Día cero para cualquier windows: cómo explotar protocolo de escritorio remoto (rdp) usando dll. no hay parches disponibles


Los expertos en servicios de seguridad informática de la firma Cymulate, la única plataforma de simulación de ataques cibernéticos, anunciaron recientemente el descubrimiento de un método que permitiría a los actores de amenaza ejecutar código malicioso a través del Protocolo de Escritorio Remoto (RDP) de Microsoft utilizando una técnica llamada DLL Side-Loading. El código ejecutado podría esquivar sin dificultado los controles de seguridad del sistema objetivo.
Cymulate es una plataforma de simulación de ataque y violación basada en SaaS que ayuda a simplificar diversos procesos de seguridad; los expertos de esta compañía colaboran con cientos de clientes empresariales para la protección de su infraestructura de TI.   
Para ejecutar el protocolo RDP, el MSTSC se usa en Windows, lo que permite a los usuarios tomar el control de un equipo remoto o máquina virtual a través de una conexión de red. MSTSC se basa en un archivo DLL (mstscax.dll) como uno de sus recursos. Sin embargo, Cymulate ha identificado que Microsoft Terminal Services Client (MSTSC) realiza la carga retrasada de mstscax.dll con un comportamiento que puede provocar que los hackers puedan eludir los controles de seguridad.




Acorde a los expertos en servicios de seguridad informática, el ejecutable carga “mstscax.dll” sin verificaciones de integridad para validar el código de la biblioteca. Un actor de amenazas puede usar este punto ciego y reemplazar mstscax.dll en la carpeta C:\Windows\System32 para la cual se requieren privilegios de administrador. Esta condición permite al hacker ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker.
Aunque los especialistas notificaron a Microsoft sobre esta falla, la compañía se ha negado a lanzar una corrección, argumentando que System32 requiere privilegios de administrador, lo que reduce considerablemente la posibilidad de explotar esta condición.
Esta falla fue reportada por primera vez en 2017 y ha sido explotada por múltiples grupos de hacking, afirman expertos en servicios de seguridad informática. Entre los grupos de hackers que han desplegado este ataque se encuentran APT3, que realizó sus ataques vía Chrome, y APT 32, que ejecuta cargas firmadas por compañías legítimas como Symantec y McAfee.
El Instituto Internacional de Seguridad Cibernética (IICS) considera que las compañías tecnológicas deberían prestar más atención a estas amenazas, además de lanzar las actualizaciones pertinentes. Si bien la explotación de estas fallas es compleja, también es 100% factible en escenarios reales, por lo que este es un riesgo de seguridad que no debe pasar desapercibido para nadie, ya sean desarrolladores o clientes.
No olvides Compartir... 

Siguenos en twitter: @disoftin - @fredyavila

No hay comentarios:

Publicar un comentario

Más leídas este mes