it-swarm.com.de

Was sind die Risiken eines Remoting in (RDP) auf ein kompromittiertes System?

Kann der Klient in irgendeiner Weise geschädigt werden und wie?

23
PBeezy

Der Standard-RDP-Client verfügt über eine Reihe von Einstellungen, die bei Aktivierung für einen Angriff auf den Client ausgenutzt werden können. Zum Beispiel: freigegebene Ordner, Zugriff auf Geräte wie Drucker usw.

Wenn Sie ein Remoting auf einem bekannten gefährdeten Computer durchführen, möchten Sie möglicherweise die Verbindungs- und Freigabeoptionen des Clients so weit wie möglich deaktivieren, bevor Sie eine Verbindung herstellen.

Es ist auch möglich, dass zusätzlich zu den Dingen, die Sie absichtlich geteilt haben, Schwachstellen im RDP-Client selbst auftreten können. Stellen Sie sicher, dass Sie gepatcht und auf dem neuesten Stand sind, und behandeln Sie den Client-Computer als infektionsgefährdet, bis Sie ihn nach Kompromissindikatoren durchsuchen können.

26
nbering

Eine wahre Geschichte

Als ich in der Grundschule war, wurden die Computersysteme in unserer Abteilung gehackt. Es stellte sich heraus, dass es gehackt wurde, weil ein böswilliger Angreifer den Benutzernamen/das Kennwort für einen unserer Benutzer abgerufen, eine Verbindung hergestellt und von dort aus die Eskalation von Berechtigungen verwaltet hat. Da ich jung und naiv war, machte ich meinem Berater einen Kommentar nach dem Motto "Wer kann dumm genug sein, seinen Benutzernamen und sein Passwort zu teilen ???". Mein Berater antwortete schnell mit: "Eigentlich war ich das." (was mich offensichtlich wie den Idioten fühlen ließ und mir eine wertvolle Lektion darüber erteilte, nicht zu Schlussfolgerungen zu springen oder meinen Mund zu halten). Dann erklärte er:

Er hatte eine andere Institution besucht und sich mit ihren Systemen verbunden. Er wusste nicht, dass ihr Server kompromittiert war (sie wussten es auch noch nicht). Er hat dann ein eigenes Konto in unserem System eingerichtet, und dabei hatte das gefährdete System überhaupt keine Probleme, seinen Benutzernamen und sein Kennwort zu lesen und an den Angreifer zurückzusenden (der SSH-Client auf seinem Computer wurde durch einen böswilligen ersetzt einer). Sie konnten das dann nutzen, um in unser System zu gelangen und auf unseren Servern in die Stadt zu gehen. All das zu sagen:

Das größte Risiko einer Verbindung zu einem gefährdeten Computer besteht darin, dass Sie davon ausgehen müssen, dass absolut alles, was Sie tun, aufgezeichnet und an die Angreifer gesendet wird. Stellen Sie keine Verbindung zu anderen Systemen des gefährdeten Computers her. Stellen Sie vom gefährdeten Computer aus keine Verbindung zu Ihrer E-Mail her. Stellen Sie über den gefährdeten Computer überhaupt keine Verbindung zu Websites her, es sei denn, es würde Ihnen nichts ausmachen, diese zusammen mit all Ihren Zugangsdaten öffentlich im Internet zu veröffentlichen. Zugegeben, das ist wahrscheinlich selbstverständlich, aber ich habe festgestellt, dass manchmal das Offensichtliche ungesagt zurückkommt, um dich später zu beißen.

Ihre eigentliche Frage

Natürlich ist das nicht genau das, wonach Sie gefragt haben. Vorausgesetzt, Sie tun auf dem kompromittierten Computer nichts Wichtiges, besteht mit Sicherheit immer noch ein gewisses Risiko, eine Verbindung zu ihm herzustellen. Ich würde erwarten, dass das Risiko gering ist, da es (unwahrscheinlich) ist, dass die gefährdete Maschine Ihre Maschine direkt infizieren kann. Es ist sicherlich unmöglich, eine Zero-Day-Sicherheitsanfälligkeit auszuschließen, die es dem Remotecomputer ermöglicht, den Client zu übernehmen, aber es ist wahrscheinlich viel einfacher, sich über Netzwerkverbindungen zu verteilen, als über das RDP-Protokoll rückwärts zu hacken. Ich bezweifle, dass es wirklich viele gibt Viren/Rootkits/etc. das macht das eigentlich. Es gibt andere Ressourcen, die zwischen Client und Server gemeinsam genutzt werden und auf die Sie achten müssen. Angesichts der einfachen Einrichtung einer virtuellen Maschine würde ich es dennoch als vernünftige Vorsichtsmaßnahme betrachten, eine Verbindung über eine herzustellen:

  1. Starten Sie eine virtuelle Maschine
  2. Verwenden Sie die virtuelle Maschine, um eine Verbindung zum gefährdeten RDP-Server herzustellen
  3. Machen Sie die virtuelle Maschine anschließend kaputt.

Ihr Kilometerstand wird variieren. Wir alle haben unterschiedliche Risiken, die wir zu akzeptieren bereit sind, und unterschiedliche "Unannehmlichkeiten", die wir eingehen möchten, um diese Risiken zu vermeiden. Ich halte mich nicht an die RDP-Szene (ich bin ein Linux-Typ), aber bei einer schnellen Suche fand ich viele RDP-Sicherheitslücken, aber keine, die es dem Remote-System anscheinend ermöglichten, die Kontrolle über den Client zu erlangen. Eine zusätzliche Sicherheitsebene kann nicht schaden, aber denken Sie daran, niemals etwas von der gefährdeten Maschine zu vertrauen oder irgendetwas von Wert zu tun, während Sie dort sind.

40
Conor Mancone