23 abr. 2020

Posible forma de evadir controles de seguridad al utilizar RDP

Los investigadores de seguridad de Cymulate descubrieron una nueva técnica de evasión que permitiría ejecutar código malicioso utilizando el Protocolo de escritorio remoto (RDP) de Microsoft, utilizando la técnica de carga lateral de DLL.

Mientras analizaban MSTSC y RDP, observaron esta técnica única que permite a los atacantes eludir los controles de seguridad.

Un Windows que ejecuta RDP utiliza el Cliente de Servicios de Terminal Server de Microsoft (MSTSC) y este MSTSC se basa en un archivo DLL (mstscax.dll). Cymulate identificó que "Microsoft Terminal Services Client (MSTSC) realiza la carga retardada de mstscax.dll con un comportamiento que puede provocar que un atacante pase por alto los controles de seguridad. El ejecutable carga explícitamente "mstscax.dll" sin verificaciones de integridad para validar el código de la biblioteca".

Un atacante podría usar este punto ciego para reemplazar el "mstscax.dll" que está presente en la carpeta "C:\Windows\System32" o copiándolo en una carpeta externa que no requiere privilegios de administrador.

Según los investigadores, esto es posible ya que "mstsc.exe no carga explícitamente la DLL desde la carpeta system32. Este comportamiento lleva a ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker". También han publicado un video con la demostración.

Cymulate ha informado sobre la vulnerabilidad a Microsoft, quien por ahora se negó a aplicar parches e informó que "System32 requiere privilegios de administrador y, por lo tanto, no es una amenaza percibida".

Para mitigar esta amenaza, se recomienda a los usuarios deshabilitar el uso de mstsc.exe y monitorear el comportamiento anormal malicioso.

Fuente: Cybersecuritynews

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!