Os investigadores da Check Point Software descobriram um total de 25 vulnerabilidades no protocolo RDP, sendo 16 classificadas como críticas e que podem ser usadas por um servidor de RDP malicioso para comprometer um dispositivo que esteja a correr um software de RDP.

Este protocolo é essencialmente usado para administração remota de um sistema, mas que pode também servir como um vetor de ataque se não estiver configurado de forma apropriada.

Para esta análise, o foco dos analistas foi o cliente para Windows.

Para Linux, o cliente ou a ferramenta-chave é o rdesktop, tendo os investigadores revelado aqui 19 falhas.

A falha permite essencialmente, se devidamente explorada, que o atacante execute código de forma arbitrária na máquina infetada.

Em clientes Windows especificamente, a falha pode ser explorada só pelo facto de o cliente ter a funcionalidade de dados copiados ou o clipboard ativo por defeito. Ou seja, através desta funcionalidade, os atacantes conseguem também acesso a tudo o que o cliente possa ter em cópia, como passwords e ficheiros.

No vídeo demonstrado e disponível publicamente, verifica-se que o atacante consegue posicionar um ficheiro malicioso na pasta de "Startup" do sistema, de forma a que seja executado sempre que o sistema inicia.

Desta forma, a nível de impacto, o que pode acontecer é que o atacante consegue elevar privilégios numa rede. Através do acesso à rede a partir de um colaborador interno, por exemplo, o atacante acede à workstation dentro da rede corporativa.

Mais informações acerca das vulnerabilidades encontradas, além de uma demonstração em vídeo do PoC podem ser consultadas aqui: https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/

Mais informações aqui: https://threatpost.com/remote-desktop-protocol-clients-rife-with-remote-code-execution-flaws/141505/