conexión de escritorio remoto a una máquina potencialmente comprometida

Navega tus respuestas
15

Estoy usando rdesktop client en Linux para conectarme a las máquinas con Windows. Si algunas de estas máquinas se vieron comprometidas por algún malware / virus / gusano / troyano malvado, ¿hay alguna manera de que el malware "salte" a mi computadora a través de la conexión rdesktop?

Siempre he pensado que esto es imposible, pero recientemente tengo read que tecnología similar, x2go es inherentemente insegura.

EDITAR

Para aclarar mi pregunta, me interesa sobre todo si el protocolo rdp (o sesión) puede ser potencialmente peligroso para el cliente.

No entiendo las partes internas del protocolo rdp . Pero me parece que, si el cliente rdesktop está simplemente mostrando imágenes / mapa de bits, entonces no hay mucho que pueda hacer un servidor potencialmente comprometido. Si, por otro lado, el cliente rdesktop está interpretando algunos comandos enviados desde el servidor, podría ser explotado.

Por analogía: Los navegadores modernos no solo muestran páginas web HTML estáticas. En su lugar, interpretan Javascript, Flash, ... ¿Es un cliente rdesktop similar en que interpreta comandos potencialmente peligrosos desde el servidor?

Si lo único que el cliente piensa es en mostrar imágenes, aparte de algún error en la biblioteca de representación, no se puede explotar. Eso sería comparable a un visor de imágenes que ve imágenes jpg.

EDIT 2

¿Hay opciones de configuración para el cliente linux rdesktop que podría usar para hacer que la sesión sea más segura? Por ejemplo, no necesito "redirección de disco" o sonido. En realidad, solo necesito una imagen de la pantalla y del portapapeles ( ctrl + c , ctrl + v ).

Por lo que pude leer en man rdesktop , la redirección de disco y el sonido no están activados de forma predeterminada. ¿Hay quizás algunas funciones que están activadas de forma predeterminada y que pueden traer problemas potenciales de seguridad?

    
pregunta Martin Vegter 21.02.2015 - 20:17
fuente

3 respuestas

13

Desde un punto de vista teórico, se está conectando a una máquina remota y está enviando datos a su máquina. Mientras que en el contexto normal, esto es solo mostrar datos de tipo de ubicación, es posible que alguna secuencia de bits pueda procesarse de tal manera que cause una explotación en su rdesktop u otra herramienta utilizada para hacer la conexión remota.

Con cualquier conexión y cualquier tipo de programa es posible, un navegador, un cliente FTP, etc.

Si le preocupa conectarse a una máquina remota, aquí hay algunas cosas que podría intentar reducir / mitigar su riesgo:

  • Cargue rdesktop o su herramienta en un arenero, una máquina virtual, un CD en vivo, etc. De esa manera, si hay una vulnerabilidad, no compromete su máquina central
  • Asegúrese de que está ejecutando la versión más actualizada de rdesktop o de cualquier herramienta del lado del cliente.

En cuanto al malware que salta de una máquina a otra, debería conocer y aprovechar alguna vulnerabilidad en rdesktop y luego usar ese mecanismo para copiarse. Si no hay ningún exploit en la aplicación rdesktop, sería poco probable que simplemente "saltara" transfiriendo la imagen visual. Si tiene alguna versión especial o habilita algún tipo de intercambio o transferencia de archivos, un portapapeles compartido, etc., entonces es posible que el malware utilice uno de estos canales.

Una búsqueda rápida en la web encuentra CVE-2008-1801, CVE-2008-1802, CVE-2008-1803 , que describe una vulnerabilidad al conectarse a un servidor de escritorio remoto vulnerable (la máquina remota a la que también se conectaría).

En respuesta a su edición:

No importa cuál sea la carga útil de los datos, la transmisión de archivos, la imagen, el mensaje de chat, todos sus datos. También hay datos de control, posición del mouse, información de actualización, etc. - se necesita una gran cantidad de datos para mantener la comunicación abierta y enviar actualizaciones. El servidor comprometido puede abusar del protocolo enviando datos que cuando son procesados por el cliente causarán un desbordamiento del búfer, etc. Los datos podrían estar mal formados o bien formados. Es una cuestión de cómo se interpretan esos bits. Incluso Photoshop o un programa de edición de videos pueden tener vulnerabilidades al abrir y procesar datos.

CVE-2012-4170 es una Ejemplo de un exploit resultante del procesamiento de una imagen.

Para obtener una mejor comprensión del protocolo RDP:

En resumen, hay muchos datos que se envían de un lado a otro, y muchos procesamientos diferentes y complejos, hay muchos lugares donde un atacante podría buscar un exploit y un servidor comprometido o malintencionado podría enviar mensajes especialmente diseñados. paquetes que serán procesados por estos errores una vez encontrados.

    
respondido por el Eric G 21.02.2015 - 21:00
fuente
2

Una cosa a tener en cuenta es que se pueden habilitar varios recursos compartidos , a veces de forma predeterminada, ciertamente en el cliente RDP de Windows (me temo que no conozco el cliente Linux, pero está claro que protocol permite estos recursos compartidos.) Por ejemplo, el portapapeles se comparte automáticamente entre el cliente y el servidor de forma predeterminada, y las impresoras locales están disponibles; es trivial compartir su disco duro con la sesión remota, y (en el cliente de Windows) esta opción, si se usó anteriormente, permanece seleccionada cuando se conecta a nuevos servidores. Es de suponer que cualquier malware en el cuadro remoto podría infectar alegremente eso como otra unidad montada.

Para resumir: incluso si la tecnología de retransmisión de pantalla es segura, otros recursos compartidos pueden generar riesgos.

    
respondido por el Daniel Hume 26.02.2015 - 00:05
fuente
1

El cliente rdesktop admite el uso compartido de recursos con el conmutador -r .

Un directorio local de la PC de conexión se puede compartir con el servidor remoto en un recurso compartido especial en \ tsclient \ < sharename >

  

-r disco: < nombre compartido > = < ruta >, ...

     

Redirige una ruta al recurso compartido \ tsclient \ en el servidor (requiere Windows XP o más reciente). El nombre del recurso compartido está limitado a 8 caracteres.

Entonces, en caso de que el servidor remoto esté infectado con malware, potencialmente puede infectar sus archivos en la PC de conexión a través de este recurso especial. Por ejemplo, CryptoWall es un ransomware conocido por cifrar archivos en recursos compartidos de red .

    
respondido por el Gabor 02.03.2015 - 11:17
fuente

Lea otras preguntas en las etiquetas

Si tengo dos imágenes de máquina virtual de Linux idénticas, ¿generarán números aleatorios idénticos? ¿Las respuestas a las preguntas de seguridad deben distinguir entre mayúsculas y minúsculas?