Un nuevo exploit en Remote Desktop Protocol (RDP)

Esta vulnerabilidad permite a los atacantes obtener control no autorizado sobre los sistemas Windows y secuestrar la actividad del navegador, lo que representa una amenaza importante para la seguridad de los datos individuales y empresariales.

Detalles del exploit

La vulnerabilidad surge del manejo y almacenamiento inadecuados de los archivos de caché de mapa de bits de RDP, que están diseñados para mejorar el rendimiento durante las sesiones de escritorio remoto.

Estos archivos almacenan fragmentos de actividad en pantalla, como elementos gráficos y datos de pantalla, en la máquina local del cliente.

Si bien estaba pensada para optimizar el rendimiento, los actores maliciosos ahora han utilizado esta función como arma para obtener información sin precedentes sobre las sesiones activas de Windows y las actividades de navegación web.

Al analizar los archivos de caché de mapa de bits almacenados en la máquina iniciadora, los atacantes pueden reconstruir partes de la pantalla de la sesión remota.

El almacenamiento en caché de mapas de bits persistentes está habilitado de forma predeterminada en mstsc.exe

Esto incluye aplicaciones abiertas, comandos ejecutados, sesiones privadas del navegador y actividades confidenciales del usuario, como acceder a páginas de inicio de sesión o descargar archivos.

Con herramientas adicionales, como BMC-Tools (desarrollada por la agencia de ciberseguridad francesa ANSSI) y RdpCacheStitcher, los atacantes pueden unir los fragmentos gráficos para convertirlos en información útil.

Los investigadores que analizaron este exploit lo compararon con una acción similar a la de “mirar por encima del hombro” del usuario objetivo. En un ejemplo real, los atacantes reconstruyeron con éxito los marcos de sesión RDP para ver:

  • Comandos de terminal ejecutados por el usuario, como certutil.exe, utilizado para descargar scripts maliciosos.
  • Sesiones de navegador privadas, incluidas páginas de inicio de sesión y credenciales confidenciales.
  • Actividades del sistema de archivos, como copiar archivos como “svchost.exe” a directorios locales.

Este nivel de conocimiento no solo compromete la privacidad del usuario, sino que también proporciona a los atacantes información detallada para aumentar sus privilegios y profundizar su presencia dentro de las redes comprometidas.

Cómo funciona el exploit

La vulnerabilidad se basa en la funcionalidad de los archivos de caché de mapa de bits de RDP, que persisten durante múltiples sesiones.

Estos archivos se almacenan localmente en la máquina cliente y contienen elementos gráficos en caché que se transfieren durante la representación de la pantalla. Por ejemplo, los archivos de caché como Cache0000.bin en los sistemas Windows almacenan fragmentos de mapa de bits de 64×64 píxeles en un formato fijo.

Al extraer y cotejar estos fragmentos, los atacantes pueden inferir las actividades del usuario, como las aplicaciones abiertas, los comandos ejecutados en las ventanas de la terminal y los sitios web a los que se accede a través de los navegadores. Las herramientas de explotación funcionan de la siguiente manera:

  1. Extracción de mapas de bits:  herramientas como BMC-Tools extraen fragmentos gráficos persistentes de los archivos de caché.
  2. Reconstrucción de sesión:  un software como RdpCacheStitcher vuelve a ensamblar los fragmentos en reconstrucciones parciales o completas de la pantalla del usuario durante la sesión remota.

Objetivos potenciales e impacto

El exploit es especialmente peligroso para las organizaciones. Los administradores que utilizan RDP para gestionar varias máquinas crean una extensa red de conexiones confidenciales, todas las cuales pueden ser vulnerables si un atacante obtiene acceso a la máquina que inicia el ataque.

En un incidente, los atacantes utilizaron este exploit para atacar a proveedores de servicios que administraban sistemas de clientes de forma remota, propagando malware y exfiltrando credenciales confidenciales.

Si bien los usuarios comunes también corren riesgo, el mayor impacto se observa en entornos empresariales donde RDP es esencial para las operaciones de TI.

Los actores maliciosos pueden usar los datos reconstruidos para realizar ataques de phishing, difundir ransomware o simplemente monitorear actividades confidenciales sin poder rastrearlas.

Para mitigar los riesgos que plantea este exploit, los expertos en ciberseguridad recomiendan las siguientes medidas:

  1. Deshabilitar el almacenamiento en caché de mapas de bits persistente:  los clientes RDP (como mstsc.exe) permiten a los usuarios deshabilitar el almacenamiento en caché de mapas de bits, minimizando la exposición de los datos de la sesión.
  2. Fortalecer la seguridad de la red:  utilice redes privadas virtuales (VPN) y firewalls robustos para proteger las conexiones RDP de amenazas externas.
  3. Supervisar sesiones RDP:  registre y supervise las sesiones RDP para detectar actividad sospechosa, incluidas conexiones salientes o movimientos de archivos inesperados.
  4. Restringir privilegios:  implemente el principio del mínimo privilegio para limitar el uso innecesario de RDP.
  5. Aplicar actualizaciones:  actualice periódicamente los sistemas Windows y los parches de seguridad para evitar la explotación de vulnerabilidades conocidas.

Según los blogs de Insinuator , el descubrimiento de este exploit subraya la naturaleza de doble filo de las tecnologías centradas en la conveniencia como RDP.

Si bien son esenciales para el acceso remoto y la gestión de la red, su uso indebido puede crear importantes vulnerabilidades de seguridad.

Este incidente también resalta la importancia de las herramientas forenses para identificar y mitigar amenazas emergentes.

«A medida que las organizaciones adoptan cada vez más modelos de trabajo remoto e híbrido, proteger las conexiones RDP debe seguir siendo una prioridad máxima. Los expertos advierten que si no se abordan estas vulnerabilidades a tiempo, se podrían agravar los daños provocados por futuros ciberataques.del navegado»

Imagen de Iker Berbel

Iker Berbel

Consultor IT & Cibersecurity

Te puede interesar:

Ciberataque a El Corte Inglés Honeypot, un señuelo para hackers – Mi Experiencia La importancia de un SIEM en ciberseguridad El Hackeo de $81 Millones al Banco Central de Bangladesh Autopsy, la herramienta forense por excelencia Podcast de ciberseguridad de Catalunya Ràdio 5 formas de mejorar la ciberseguridad de tu empresa
Comparte este contenido:

Deja un comentario

Calendario de la Ciberseguridad /25

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas más importantes
Infordisa / Security Operations Center
Powered by  Cumplimiento de cookies de GDPR
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.