Tres programas utilizados como sistema cliente del Protocolo de Escritorio Remoto (RDP) han sido identificados con vulnerabilidades críticas que podrían permitir intrusiones en la red de TI.
RDP sirve a los profesionales de TI para conectarse a computadoras remotas, con lo cual tiene acceso y control de la computadora remota, de acuerdo con los permisos de su usuario.
Check Point Research ha descubierto vulnerabilidades críticas en FreeRDP, rdesktop (Kali Linux) y mstsc.exe (Microsoft), que permitirían la ejecución remota de código, y con ello un atacante podría infectar la computadora utilizada para penetrar en la red de TI. Los investigadores de Check Point encontraron 16 vulnerabilidades principales y un total de 25 vulnerabilidades de seguridad en general.
El atacante puede obtener privilegios de red en los siguientes escenarios de ataque:
- Atacar a un miembro de TI que se conecta a una estación de trabajo infectada dentro de la red corporativa, obteniendo así permisos elevados y mayor acceso a los sistemas de red.
- Atacar a un investigador de malware que se conecta a una máquina virtual aislada que contiene un malware probado, logrando la salida del malware y su infiltración en la red corporativa.
FreeRDP es el sistema cliente RDP de código abierto más popular y maduro en Github y le fueron descubiertas 5 vulnerabilidades.
A rdesktop, el sistema cliente RDP de código abierto más antiguo y que se encuentra en las distribuciones Kali-Linux, se le encontraron 11 vulnerabilidades graves. mstsc.exe es el sistema cliente RDP incorporado de Microsoft.
Mstsc.exe, el sistema cliente RDP integrado de Microsoft, al parecer libró bien las pruebas aunque se encontró una vulnerabilidad en el manejo del portapapeles RDP compartido y que podría ocasionar la divulgación de información sensible, como las contraseñas. Microsoft ya ha sido comunicado del problema pero no lo reconoce, ya que considera que el reporte no cumple sus criterios de servicios de seguridad para Windows. Por lo tanto, no hay identificador de la vulnerabilidad (CVE-ID) ni parche que la corrija.
Para evitar ser víctima de un posible ataque, es recomendable utilizar sistemas cliente RDP actualizados. Si usa RDP de Microsoft, la recomendación es deshabilitar el canal de uso compartido del portapapeles (activado de forma predeterminada) al conectarse a una máquina remota.