6 jun. 2019

RDPStrip: atacar Remote Desktop Protocol en Windows

Sabemos que estamos ante el año del RDP/RDS como elemento vulnerable y BlueKeep nos lo recuerda cada día, ante la amenaza de un nuevo EternalBlue. Pero BlueKeep no es la única amenaza a la que se enfrenta el RDP/RDS. Recuperando algunos ejemplos del pasado, que siguen siendo válidos hoy en día, vemos la herramienta Seth o el script RDPStrip.

Lo cierto es que Seth es una herramienta de hace un par de años y RDPStrip es un script de hace tres años. Sea como sea, la configuración del escritorio remoto en cualquier versión de Windows es fundamental para no poner en riesgo la privacidad de las comunicaciones de éstos, y si no se hace correctamente, es un elemento perfecto para tener en cuenta en el Hacking de redes y sistemas Windows.

Para resumir brevemente en qué consiste la técnica implementada en RDPStrip se puede decir que colocarse en medio de la comunicación es la base del ataque. Una vez que estamos en medio de la comunicación, y con la ayuda de iptables, se inyecta un certificado para poder visualizar la comunicación. Además, dependiendo del sistema operativo víctima, se puede forzar un downgrade.

Este hecho es utilizado en la herramienta seth. Os dejo por aquí un interesante artículo del investigador Adrian Vollmer, en el que se ve que la configuración del RDP es fundamental para evitar el riesgo.
Una de las cosas interesantes que se pueden ver en este artículo, aparte de la realización del ataque, es cómo implementarse un proxy sencillo para poder observar el tráfico RDP que pasará por nosotros. Además, si quieres conocer cómo funciona el protocolo RDP a bajo nivel, de nuevo recomiendo su lectura pausada. Viene con ejemplos e ilustrada de forma sencilla.

Es muy importante entender en qué entorno o con qué configuración esto va a funcionar. NLA o Network Level Authentication es un mecanismo que protege la comunicación en conexiones RDP. Si ésta está activa, el ataque no funcionará, pero, si por el contrario, no está activo el ataque funcionará. El NLA apareció en Windows Vista y Windows Server 2008, precisamente para fortificar las conexiones RDP frente a los ataques de Redes IPv4/IPv6. NLA utiliza CredSSP o Credential Security Support Provider para llevar a cabo el proceso de autenticación fuerte. Utiliza TLS / SSL o Kerberos. Está hecho para proteger específicamente contra ataques de MiTM.

Contenido completo en fuente original El Lado del Mal

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!