セキュリティ企業のチェック・ポイントは、Windows および Linux 向けの最も人気のあるリモート デスクトップ プロトコル (RDP) ツール 3 つに約 25 件のセキュリティ脆弱性を発見しました。
情報セキュリティ組織は、バグハンターに Microsoft mstsc および FreeRDP と rdesktop リモート デスクトップ ユーティリティの手動コード監査を依頼し、その結果、潜在的に深刻な欠陥やセキュリティ上の弱点が多数発見されました。
Check Pointの調査報告書に記載されている25件のCVEリストに掲載された脆弱性のうち、15件はリモートコード実行に悪用される可能性があります。ちなみに、Check Pointはサーバーからクライアントへの攻撃に注力していました。
チェック・ポイント社によると、この調査の目的は、管理者や技術サポートスタッフなど、マシンに接続しようとしている人が、リモートアクセスしようとしているマシンによって実際に侵害を受ける可能性がある方法を調べることだった。
「通常のシナリオでは、RDPクライアントを使用して、リモートコンピュータにインストールされているリモートRDPサーバーに接続します。接続に成功すると、ユーザーの権限に応じて、リモートコンピュータにアクセスし、制御できるようになります」と、チェック・ポイントのエヤル・イトキン氏は述べています。
「しかし、もしシナリオが逆転したらどうなるでしょうか?RDP サーバーが接続された RDP クライアントのコンピューターを攻撃し、制御できるかどうかを調査したかったのです。」
トリガー
結局のところ、RDPサーバーをリモートユーザーへの攻撃に利用する方法は複数存在します。研究者らは、2地点間のデータ交換に使用されるチャネルの多くが、送信パケットの長さを適切にチェックしていないことを発見しました。これにより、サーバーがクライアントに不正なパケットを送信し、境界外読み取りエラーや整数オーバーフローを引き起こし、リモートコード実行攻撃につながる可能性があることが判明しました。
もう一つの特に脆弱な攻撃ポイントは、クライアントとサーバーが共通のクリップボードを介してデータを共有する方法でした。このチャネルを介したデータトラフィックは適切にサニタイズされていないため、共有クリップボードはデータパストラバーサル攻撃や、サーバーがクライアントのローカルクリップボードのアクティビティを覗き見することによる情報漏洩を許す可能性があります。
悪意のあるRDPサーバーは、クライアントがRDPウィンドウ内で「コピー」操作を行わない場合でも、クライアントが使用するクリップボードの内容を改変できるという懸念があります。「RDP接続中に「貼り付け」をクリックすると、この種の攻撃に対して脆弱になります」と、Check PointのItkin氏は指摘しています。
「たとえば、コンピュータ上でファイルをコピーすると、サーバーは(実行可能?)ファイルを変更したり、コピーに便乗して、以前に示した概念実証を使用してファイルやパストラバーサルファイルを追加したりできる」と付け加えた。
手作業によるソースコードレビューの結果、rdesktop に 19 件、FreeRDP に 6 件の CVE 登録済みの脆弱性が見つかりました。悪用を防ぐために、rdesktop はバージョン 1.8.4 以降、FreeRDP はバージョン 2.0.0-rc4 以降で修正済みとのことですので、これらのビルド以降を実行していることを確認してください。
曇った窓
マイクロソフトのクローズドソースRDPクライアントに関する調査結果は、やや曖昧でした。Check Point社はWindows RDPが前述のクリップボードの問題に対して脆弱であることを確認しましたが、レドモンド社はCVEやセキュリティパッチの割り当てに値するほど深刻な問題ではないと判断したとのことです。
窃盗、詐欺、ブラフ:エル・レグはペンテストを行う「レッドチームハッカー」と共存している
続きを読む
いずれにせよ、チェック・ポイント社が最終的に結論付けたのは、リモートユーザーや従業員を装った攻撃者がRDPを悪用し、RDPサービスを要求するだけで管理者を侵害する可能性があるという点です。また、RDPを使って仮想マシンに接続し分析を行うマルウェア研究者への対抗手段として、犯罪者がRDPを利用できる可能性も示唆しています。
軽い話題として、Check Point 社は、これらのバグによってセキュリティ チーム間でちょっとした悪戯が起こる可能性もあると示唆した。
「rdesktopレッドチームが侵入テストに利用するLinuxディストリビューションKali Linuxの組み込みクライアントと同様に、我々は3つ目の(おそらく現実的ではないものの)攻撃シナリオを考案しました」とイトキン氏の報告書には記されている。「ブルーチームは組織内にハニーポットを設置し、RDPプロトコル経由で接続を試みるレッドチームを攻撃することができます。」®
