कम से कम विंडोज सर्वर 2012 आर2 पर वापस जाने वाले माइक्रोसॉफ्ट विंडोज सिस्टम रिमोट डेस्कटॉप सर्विसेज प्रोटोकॉल में एक भेद्यता से प्रभावित होते हैं जो हमलावरों को आरडीपी के माध्यम से रिमोट सिस्टम से जुड़े अन्य कनेक्टेड उपयोगकर्ताओं की मशीनों पर फाइल सिस्टम एक्सेस हासिल करने का एक तरीका देता है।

साइबरआर्क के शोधकर्ताओं ने हाल ही में खोजे गए विशेषाधिकारों को बढ़ाने या नेटवर्क पर बाद में स्थानांतरित करने के लिए दोष का फायदा उठाने वाले खतरनाक अभिनेता क्लिपबोर्ड डेटा को देख और संशोधित कर सकते हैं या मशीन में लॉग इन किए गए अन्य उपयोगकर्ताओं की पहचान का प्रतिरूपण कर सकते हैं। उन्होंने इस समस्या की सूचना Microsoft को दी, जिसने इस खामी के लिए एक पैच जारी किया (सीवीई-2022-21893) में इस मंगलवार को जनवरी के लिए इसका सुरक्षा अद्यतन।

माइक्रोसॉफ्ट का आरडीपी उपयोगकर्ताओं को एक दूरस्थ क्लाइंट से विंडोज सिस्टम तक पहुंचने और नियंत्रित करने की अनुमति देता है जैसे कि वे स्थानीय रूप से सिस्टम पर काम कर रहे थे। संगठन कई कारणों से इसका उपयोग करते हैं, जिसमें आईटी हेल्प डेस्क और समर्थन सेवाओं के लिए सिस्टम तक दूरस्थ पहुंच को सक्षम करना, दूरस्थ कर्मचारियों को उनके कार्यालय में संसाधनों की नकल करने वाले वातावरण तक पहुंच प्रदान करना और क्लाउड वातावरण में वर्चुअल मशीनों तक पहुंच को सक्षम करना शामिल है।

RDP में, एक एकल कनेक्शन को कई वर्चुअल चैनलों में तोड़ा जा सकता है। इन चैनलों में डेटा “नामित पाइप” नामक विंडोज़ सेवा के माध्यम से अन्य प्रक्रियाओं में पास किया जाता है। “नामित पाइप एक विंडोज़ मशीन पर चलने वाली दो प्रक्रियाओं के बीच संचार के लिए एक तंत्र हैं, ” साइबरआर्क के एक सॉफ्टवेयर आर्किटेक्ट गेब्रियल स्ज़ेटेनवॉर्सेल कहते हैं। विंडोज रिमोट डेस्कटॉप सर्विसेज क्लाइंट और रिमोट सिस्टम के बीच डेटा – जैसे क्लिपबोर्ड में डेटा, और स्मार्ट-कार्ड प्रमाणीकरण डेटा – पास करने के लिए नामित पाइप का उपयोग करती है।

भेद्यता कि साइबरआर्क की खोज की कुछ स्थितियों में नामित पाइप बनाने के तरीके से जुड़ा हुआ है। सुरक्षा विक्रेता ने पाया कि दोष मूल रूप से किसी भी उपयोगकर्ता को एक नामित पाइप सर्वर उदाहरण इस तरह से बनाने की अनुमति देता है कि रिमोट और क्लाइंट सिस्टम के बीच यात्रा करने वाला कुछ डेटा अनिवार्य रूप से उनके दुर्भावनापूर्ण रूप से बनाए गए पाइप से बहता है। उन्होंने पाया कि एक हमलावर डेटा को इंटरसेप्ट करने के लिए मैन-इन-द-बीच उपस्थिति स्थापित करने के लिए दोष का उपयोग कर सकता है जैसे कि रिमोट सिस्टम से जुड़े क्लाइंट डिवाइस के क्लिपबोर्ड में, या स्मार्ट-कार्ड पिन जो उपयोगकर्ता प्रमाणीकरण के लिए दर्ज कर सकता है। क्लाइंट डिवाइस।

Sztejnworcel का कहना है कि साइबरआर्क शोधकर्ताओं ने पाया कि आरडीएस के माध्यम से रिमोट मशीन से जुड़ा कोई भी अनपेक्षित उपयोगकर्ता अन्य उपयोगकर्ताओं के सत्रों से डेटा को इंटरसेप्ट करने, देखने और संशोधित करने की भेद्यता का फायदा उठा सकता है, जो उसी रिमोट मशीन से जुड़े हो सकते हैं। “यह अन्य उपयोगकर्ताओं की क्लाइंट मशीनों की फाइल सिस्टम तक पहुंच प्राप्त करने और पीड़ित की पहचान को प्रभावी ढंग से प्रतिरूपित करने के लिए प्रमाणित करने के लिए अन्य उपयोगकर्ताओं के स्मार्ट कार्ड और पिन नंबर का उपयोग करने के लिए लीवरेज किया जा सकता है।” “सबसे महत्वपूर्ण बात यह है कि इससे विशेषाधिकार वृद्धि हो सकती है।”

Sztejnworcel के अनुसार, साइबरआर्क द्वारा खोजी गई भेद्यता का शोषण करना विशेष रूप से कठिन नहीं है। साइबरआर्क ने एक सरल शोषण उपकरण विकसित किया जो अपना स्वयं का पाइप सर्वर इंस्टेंस बनाता है और दिखाता है कि कैसे एक हमलावर पीड़ित की फाइल सिस्टम तक पहुंचने के लिए इसका इस्तेमाल कर सकता है, पीड़ित जो कुछ भी रिमोट सिस्टम से कॉपी-पेस्ट करता है, और लॉगिंग के लिए स्मार्ट-कार्ड पिन चोरी करता है एक अधिकृत उपयोगकर्ता के रूप में संसाधनों पर।

Sztejnworcel कुछ ऐसे उदाहरणों की ओर इशारा करता है जहां एक रिमोट सिस्टम में इससे जुड़े कई क्लाइंट डिवाइस हो सकते हैं। एक जंप बॉक्स जिससे उपयोगकर्ता आंतरिक नेटवर्क तक पहुंचने के लिए कनेक्ट होते हैं, एक उदाहरण है, वे कहते हैं। इसी तरह, एक सत्र-आधारित डेस्कटॉप वातावरण जहां कई उपयोगकर्ता एक ही मशीन से जुड़ते हैं और एप्लिकेशन चलाते हैं, दूसरा होगा।

“यह भी संभव हो सकता है, साधारण सोशल इंजीनियरिंग तकनीकों का उपयोग करके, उच्च-विशेषाधिकार वाले उपयोगकर्ताओं को उस मशीन में लॉग इन करने के लिए जो हमलावर पहले से जुड़ा हुआ है, ” वे कहते हैं। “यह एक और सर्वर या एक व्यक्तिगत वर्कस्टेशन भी हो सकता है। मशीन को खुद से समझौता नहीं करना पड़ता है क्योंकि भेद्यता का फायदा उठाने के लिए उच्च विशेषाधिकारों की आवश्यकता नहीं होती है।”

पसंदीदा हमला लक्ष्य
एंटरप्राइज़ नेटवर्क पर प्रारंभिक पैर जमाने की कोशिश करने के लिए हमलावरों ने लंबे समय से Microsoft के RDP का उपयोग किया है। कई मामलों में, नेटवर्क में सेंध लगाने के लिए धमकी देने वालों को इंटरनेट के संपर्क में आने वाली आरडीपी सेवाओं वाले उपकरणों की खोज के अलावा कुछ और करना पड़ता है। आरंभिक एक्सेस ब्रोकरों ने वर्षों से उजागर आरडीपी सेवाओं के साथ सर्वरों की एक विशाल सूची तैयार की है जो वे रैंसमवेयर ऑपरेटरों और अन्य खतरे वाले समूहों को शुल्क के लिए उपलब्ध करा रहे हैं। एक अध्ययन कि पालो ऑल्टो नेटवर्क पिछले साल किए गए सर्वेक्षण से पता चला है कि वेब पर कुल उद्यम एक्सपोजर में आरडीपी का हिस्सा लगभग 30% है। 2020 के वसंत में प्रोटोकॉल को लक्षित करने वाले हमलों में तेजी से वृद्धि हुई – और अधिकतर वैसे ही रह गया – COVID-19 महामारी के मद्देनजर अधिक दूरस्थ और वितरित कार्य वातावरण में स्विच करने वाले संगठनों के साथ।

पिछले कुछ वर्षों में, आरडीपी की कमजोरियों का भी हिस्सा रहा है। एक उदाहरण ब्लूकीप है (सीवीई-2019-0708) आरडीपी में एक महत्वपूर्ण रिमोट कोड निष्पादन जिसे शोधकर्ताओं ने 2019 में खोजा। दोष ने विंडोज एक्सपी, विंडोज 7 और विंडोज सर्वर 2008 सहित विंडोज के कई विरासत संस्करणों में आरडीपी को प्रभावित किया। एक और उदाहरण एक तथाकथित है रिवर्स आरडीपी दोष (सीवीई-2019-0887), जिसे चेक प्वाइंट ने ब्लैक हैट यूएसए 2019 में प्रकट किया।


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here