CyberArk Labs: Ieder gebruiker kan via Windows RDP andere gebruiker overnemen

13-01-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

CyberArk Labs: Ieder gebruiker kan via Windows RDP andere gebruiker overnemen

CyberArk Labs waarschuwt voor een kwetsbaarheid in Windows Remote Desktop Protocol (RDP). Hiermee kan elke gebruiker die via RDP is verbonden met een machine op afstand, toegang verkrijgen tot de apparatuur van andere verbonden gebruikers. Elke organisatie het protocol gebruikt loopt in principe risico.

Dit blijkt uit een nieuw onderzoek dat door CyberArk Labs is gepubliceerd. Zodra het lek is misbruikt, kan een aanvaller een man-in-the-middle aanval uitvoeren. Hierdoor zijn bijvoorbeeld klembordgegevens van andere verbonden gebruikers te bekijken en te wijzigen, krijgt men toegang te krijgen tot de schijven/mappen van het slachtoffer en kan men zich voordoen als een andere gebruiker zelfs als die op de machine zijn ingelogd met behulp van smartcards, zoals bijvoorbeeld bij overheden gebeurt ter authenticatie.

Patch beschikbaar

De kwetsbaarheid is ontdekt door CyberArk software architect Gabriel Sztejnworcel en door Microsoft gekwalificeerd als ‘Belangrijk’. Op Patch Tuesday is er een patch uitgerold. Er is vooralsnog geen aanwijzing gevonden dat de kwetsbaarheid grootschalig is misbruikt.

Windows RDP wordt wereldwijd door organisaties gebruikt. Omdat werken op afstand steeds populairder wordt is het een doelwit bij uitstek voor aanvallers. Onderzoekers van CyberArk hebben het lek kunnen benutten door een tool te ontwikkelen die misbruik maakt van de virtuele kanalen die Windows RDP gebruikt om te communiceren tussen de server en de client vanuit de machine. Zeker met het oog op het compromitteren van smartcards, die worden gebruikt voor verificatie, zouden aanvallers in staat zijn om verbinding te maken met elke bron, op dezelfde of andere machines, met behulp van de smartcard en PIN-code van het slachtoffer. Dit kan leiden tot een escalatie van toegangsrechten, waarmee een aanvaller stapsgewijs zichzelf meer toegangsrechten kan geven tot gevoelige gegevens.

Hoewel bestaande RDP-toegang tot een machine nodig is om de kwetsbaarheid uit te voeren, is het niet ongebruikelijk dat aanvallers de toegang aanhouden om te kunnen profiteren van een kwetsbaarheid. Daarom is het advies om de patch onmiddellijk toe te passen. Meer informatie is beschikbaar in het onderzoeksartikel van CyberArk Labs, waar ook de bijbehorende aanvalsdemo's zijn te vinden.

Terug naar nieuws overzicht
Security