Encontré un PoC para un ataque MitM hacia RDP publicado en marzo de 2017 pero no hay CVE en ninguna de las bases de datos y no se menciona un parche de Microsoft.
Quiero saber si esto todavía funciona, ¿cómo lo averiguaría sin probarlo yo mismo?
El problema descrito en el documento no es una vulnerabilidad real, sino la consecuencia del uso de certificados que no son de confianza en el entorno. Cuando se conecta a un servidor RDP remoto, utiliza por defecto un certificado autofirmado. Cuando acepta ese certificado, confía en el sistema remoto. Si esta es la forma en su red, entonces el atacante puede configurar un servidor proxy y enviar todo su tráfico RDP a través de su sistema, por ejemplo. realizar un ataque de hombre en el medio. Se inicia cuando acepta el certificado de atacante y establece la conexión.
Para evitar este problema, debe utilizar certificados de confianza firmados por una CA de confianza. Y cuando el servidor remoto ofrece un certificado que no es de confianza, debe sospechar que algo está mal. Es el mismo problema que con los navegadores web y certificados falsos.
El resultado final, si su organización está utilizando certificados autofirmados, es vulnerable a este ataque.
Aquí hay algunos artículos sobre cómo configurar sus servidores RDP para usar certificados de confianza: enlace
Lea otras preguntas en las etiquetas man-in-the-middle rdp cve