Aquesta vulnerabilitat permet als atacants obtenir control no autoritzat sobre els sistemes Windows i segrestar l'activitat del navegador, cosa que representa una amenaça important per a la seguretat de les dades individuals i empresarials.
Detalls de l'exploit
La vulnerabilitat sorgeix del maneig i emmagatzematge inadequats dels fitxers de memòria cau de mapa de bits de RDP, que estan dissenyats per millorar el rendiment durant les sessions d'escriptori remot.
Aquests fitxers emmagatzemen fragments d'activitat en pantalla, com ara elements gràfics i dades de pantalla, a la màquina local del client.
Si bé estava pensada per optimitzar el rendiment, els actors maliciosos ara han utilitzat aquesta funció com a arma per obtenir informació sense precedents sobre les sessions actives de Windows i les activitats de navegació web.
En analitzar els fitxers de memòria cau de mapa de bits emmagatzemats a la màquina iniciadora, els atacants poden reconstruir parts de la pantalla de la sessió remota.
L'emmagatzematge en memòria cau de mapes de bits persistents està habilitat per defecte a mstsc.exe
Això inclou aplicacions obertes, ordres executades, sessions privades del navegador i activitats confidencials de l'usuari, com ara accedir a pàgines d'inici de sessió o descarregar fitxers.
Amb eines addicionals, com ara BMC-Tools (desenvolupada per l'agència de ciberseguretat francesa ANSSI) i RdpCacheStitcher, els atacants poden unir els fragments gràfics per convertir-los en informació útil.
Els investigadors que van analitzar aquest exploit ho van comparar amb una acció similar a la de “mirar per sobre de l'espatlla” de l'usuari objectiu. En un exemple real, els atacants van reconstruir amb èxit els marcs de sessió RDP per veure:
- Ordres de terminal executades per l'usuari, com certutil.exe, utilitzat per descarregar scripts maliciosos.
- Sessions de navegador privades, incloses pàgines d'inici de sessió i credencials confidencials.
- Activitats del sistema de fitxers, com ara copiar fitxers com a “svchost.exe” a directoris locals.
Aquest nivell de coneixement no només compromet la privadesa de l'usuari, sinó que també proporciona als atacants informació detallada per augmentar els seus privilegis i aprofundir la seva presència dins de les xarxes compromeses.
Com funciona l'exploit
La vulnerabilitat es basa en la funcionalitat dels fitxers de memòria cau de mapa de bits de RDP, que persisteixen durant múltiples sessions.
Aquests fitxers s'emmagatzemen localment a la màquina client i contenen elements gràfics en memòria cau que es transfereixen durant la representació de la pantalla. Per exemple, els fitxers de memòria cau com Cache0000.bin als sistemes Windows emmagatzemen fragments de mapa de bits de 64×64 píxels en un format fix.
En extreure i acarar aquests fragments, els atacants poden inferir les activitats de l'usuari, com les aplicacions obertes, les ordres executades a les finestres de la terminal i els llocs web als quals s'accedeix a través dels navegadors. Les eines d'explotació funcionen de la manera següent:
- Extracció de mapes de bits: eines com BMC-Tools extreuen fragments gràfics persistents dels fitxers de memòria cau.
- Reconstrucció de sessió: un programari com RdpCacheStitcher torna a acoblar els fragments a reconstruccions parcials o completes de la pantalla de l'usuari durant la sessió remota.
Objectius potencials i impacte
L'exploit és especialment perillós per a les organitzacions. Els administradors que utilitzen RDP per gestionar diverses màquines creen una extensa xarxa de connexions confidencials, totes les quals poden ser vulnerables si un atacant obté accés a la màquina que inicia l'atac.
En un incident, els atacants van utilitzar aquest exploit per atacar proveïdors de serveis que administraven sistemes de clients de forma remota, propagant malware i exfiltrant credencials confidencials.
Si bé els usuaris comuns també corren risc, l'impacte més gran s'observa en entorns empresarials on RDP és essencial per a les operacions de TI.
Els actors maliciosos poden utilitzar les dades reconstruïdes per realitzar atacs de phishing, difondre ransomware o simplement monitoritzar activitats confidencials sense poder rastrejar-les.
Per mitigar els riscos que planteja aquest exploit, els experts en ciberseguretat recomanen les mesures següents:
- Deshabilitar l'emmagatzematge en memòria cau de mapes de bits persistent: els clients RDP (com mstsc.exe) permeten als usuaris deshabilitar l'emmagatzematge a la memòria cau de mapes de bits, minimitzant l'exposició de les dades de la sessió.
- Enfortir la seguretat de la xarxa: utilitzeu xarxes privades virtuals (VPN) i tallafocs robustos per protegir les connexions RDP d'amenaces externes.
- Supervisar sessions RDP: registreu i superviseu les sessions RDP per detectar activitat sospitosa, incloses connexions sortints o moviments d'arxius inesperats.
- Restringir privilegis: implementeu el principi del mínim privilegi per limitar l'ús innecessari de RDP.
- Aplicar actualitzacions: actualitzeu periòdicament els sistemes Windows i els pegats de seguretat per evitar l'explotació de vulnerabilitats conegudes.
Segons els blocs d'Insinuator, el descobriment d'aquest exploit subratlla la naturalesa de doble tall de les tecnologies centrades en la conveniència com a RDP.
Si bé són essencials per a l'accés remot i la gestió de la xarxa, el seu ús indegut pot crear vulnerabilitats importants de seguretat.
Aquest incident també ressalta la importància de les eines forenses per identificar i mitigar amenaces emergents.
«A mesura que les organitzacions adopten cada cop més models de treball remot i híbrid, protegir les connexions RDP ha de continuar sent una prioritat màxima. Els experts adverteixen que si no s'aborden aquestes vulnerabilitats a temps, es podrien agreujar els danys provocats per futurs ciberatacs del navegat»
Iker Berbel
Consultor IT & Cibersecurity
