¿Cuáles son los riesgos de la comunicación remota en (RDP) para un sistema comprometido? [duplicar]

23

¿Se puede dañar al cliente de alguna manera y cómo?

    
pregunta PBeezy 06.08.2018 - 15:59
fuente

2 respuestas

26

Hay una serie de configuraciones en el cliente RDP estándar que podrían explotarse para un ataque al cliente, si está habilitado. Por ejemplo: carpetas compartidas, acceso a dispositivos como impresoras, etc.

Si estás en una máquina comprometida conocida, es posible que desees deshabilitar tanto como sea posible las opciones de conexión y uso compartido del cliente antes de conectarte.

También es posible que además de las cosas que compartió intencionalmente, podría haber vulnerabilidades en el propio cliente RDP. Asegúrese de estar actualizado y actualizado, y trate la máquina cliente como en riesgo de infección hasta que tenga la oportunidad de analizarla en busca de indicadores de compromiso.

    
respondido por el nbering 06.08.2018 - 16:49
fuente
40

Una historia verdadera

Cuando estaba en la escuela de posgrado, los sistemas informáticos de nuestro departamento fueron pirateados. Resultó que fue pirateado porque un atacante malintencionado consiguió un nombre de usuario / contraseña para uno de nuestros usuarios, se conectó y luego administró la escalada de privilegios desde allí. Siendo joven e ingenuo, le hice un comentario a mi asesor como "¿Quién puede ser tan estúpido como para compartir su nombre de usuario y contraseña?". Mi asesor respondió rápidamente: "En realidad, ese era yo". (lo que obviamente me dejó sintiéndome como un idiota y me enseñó una valiosa lección acerca de no saltar a conclusiones o correr la boca) Luego explicó:

Había estado visitando una institución diferente y conectado a sus sistemas. No se dio cuenta de que su servidor estaba comprometido (ellos tampoco lo sabían todavía). Luego, ssh'd en su propia cuenta en nuestro sistema, y al hacerlo, el sistema comprometido no tuvo ningún problema en absoluto al leer su nombre de usuario y contraseña y enviarlo de nuevo al atacante (el cliente ssh en su máquina había sido reemplazado por un malicioso uno). Entonces pudieron usar eso para ingresar a nuestro sistema e ir a la ciudad en nuestros servidores. Todo lo que hay que decir:

El riesgo más grande de conectarse a una máquina comprometida es que debe asumir que absolutamente todo lo que haga será registrado y enviado a los atacantes. No se conecte a ningún otro sistema de la máquina comprometida. No se conecte a su correo electrónico desde la máquina comprometida. No se conecte a ningún sitio web desde la máquina comprometida, a menos que sea el tipo de cosa que no le importaría publicar públicamente en Internet junto con todas sus credenciales de acceso. Por supuesto, esto probablemente no hace falta decirlo, pero he descubierto que a veces, dejando las cosas obvias sin decir, vuelve para morderte más tarde.

Tu pregunta actual

Por supuesto, esto no es exactamente lo que estabas preguntando. Suponiendo que no haga nada importante en la máquina comprometida, ciertamente todavía hay algún riesgo involucrado al conectarse a ella. Espero que el riesgo sea bajo ya que (parece) poco probable que la máquina comprometida pueda infectar directamente su máquina. Ciertamente es imposible descartar una vulnerabilidad de día cero que pueda permitir que la máquina remota tome el control del cliente, pero probablemente es mucho más fácil repartirse en las conexiones de red y luego piratear hacia atrás a través del protocolo RDP, por lo que dudo que realmente haya muchas virus / rootkits / etc. que en realidad hacen eso. Hay otros recursos compartidos entre el cliente y el servidor que deberá vigilar. Sin embargo, dada lo fácil que es configurar una máquina virtual, consideraría una precaución razonable para conectarse a través de una:

  1. girar una máquina virtual
  2. Utilice la máquina virtual para conectarse al servidor RDP comprometido
  3. Trash la máquina virtual.

Su kilometraje puede variar. Todos tenemos diferentes niveles de riesgos que estamos dispuestos a aceptar, y diferentes niveles de "inconvenientes" que estamos dispuestos a enfrentar para evitar esos riesgos. No me mantengo al tanto de la escena RDP (soy un tipo de Linux), pero en una búsqueda rápida encontré muchas vulnerabilidades de seguridad RDP pero ninguna que parecía permitir que el sistema remoto obtuviera control sobre el cliente. Es posible que una capa adicional de seguridad no resulte perjudicial, pero recuerde que nunca confíe en nada de la máquina comprometida ni haga nada de valor mientras esté allí.

    
respondido por el Conor Mancone 06.08.2018 - 17:05
fuente

Lea otras preguntas en las etiquetas