RDP (Remote Desktop Protocol) cho phép người dùng kết nối với máy tính từ xa. Giao thức này thường được sử dụng bởi các kỹ thuật viên và quản trị viên CNTT để kết nối từ xa với các thiết bị khác trên mạng.
RDP ban đầu được Microsoft phát triển cho hệ điều hành Windows của mình, nhưng có một số máy khách nguồn mở cho giao thức RDP có thể được sử dụng trên Linux cũng như các hệ thống Unix.
Các nhà nghiên cứu của Check Point đã tiến hành phân tích chi tiết 03 ứng dụng khách RDP được sử dụng phổ biến nhất là FreeRDP, rdesktop và Windows RDP client (đi kèm với hệ điều hành) và tìm ra 25 lỗi bảo mật, một số lỗi trong đó thậm chí có thể cho phép máy chủ RDP độc hại điều khiển từ xa các máy tính của khách chạy phần mềm RDP.
FreeRDP, ứng dụng RDP client mã nguồn mở phổ biến và trưởng thành nhất trên Github có thể bị tấn công bằng 06 lỗ hổng, 05 trong số đó là các vấn đề lỗi bộ nhớ khá lớn, thậm chí có thể dẫn đến việc thực thi mã từ xa trên máy tính của khách hàng.
Rdesktop, một RDP client mã nguồn mở cũ hơn được cài mặc định trong các bản phân phối Kali Linux, được phát hiện là RDP client dễ bị tấn công nhất với tổng số 19 lỗ hổng, 11 trong số đó có thể cho phép máy chủ RDP độc hại thực thi mã tùy ý trên máy tính của người dùng.
Mặc dù RDP client có sẵn trong Windows không chứa bất kỳ lỗi thực thi mã từ xa nào, các nhà nghiên cứu đã phát hiện ra một số tình huống tấn công thú vị có thể xảy ra do máy khách và máy chủ chia sẻ dữ liệu clipboard, cho phép máy khách truy cập và sửa đổi dữ liệu clipboard trên máy chủ và ngược lại.
"Một máy chủ RDP độc hại có thể nghe lén trên clipboard của máy khách. Đây là một tính năng, không phải là lỗi. Ví dụ, máy khách sao chép mật khẩu quản trị viên cục bộ và bây giờ máy chủ cũng có nó", các nhà nghiên cứu chia sẻ trong khi giải thích kịch bản tấn công đầu tiên.
"Máy chủ RDP độc hại có thể sửa đổi bất kỳ nội dung clipboard nào được máy khách sử dụng, ngay cả khi máy khách không phát hành thao tác "sao chép" bên trong cửa sổ RDP. Nếu người dùng nhấp vào "dán" khi mở kết nối RDP, người dùng có thể bị tấn công bởi kịch bản thứ hai".
Trong một video khác, các nhà nghiên cứu đã trình diễn cách tấn công clipboard bằng phần mềm RDP của Microsoft thậm chí có thể cho phép máy chủ RDP độc hại lừa hệ thống máy khách lưu tệp phần mềm độc hại trong thư mục khởi động của Windows, sẽ tự động được thực thi mỗi khi hệ thống khởi động.
Các nhà nghiên cứu đã báo cáo các lỗ hổng cho các nhà phát triển của các RDP client bị ảnh hưởng vào tháng 10/2018.
FreeRDP đã vá các lỗ hổng trong phiên bản v2.0.0-RC4 và triển khai bản phát hành phần mềm cho kho lưu trữ GitHub của nó chưa đầy một tháng sau khi được thông báo.
Rdesktop đã vá lỗi trong phiên bản v1.8.4 và đưa ra bản sửa lỗi vào giữa tháng 1/2019.
Microsoft thừa nhận phát hiện của các nhà nghiên cứu nhưng chưa xử lý các vấn đề được thông báo. Tuy nhiên, người dùng máy khách Windows RDP có thể tự bảo vệ mình trước các cuộc tấn công được các nhà nghiên cứu phát hiện bằng cách vô hiệu hóa tính năng chia sẻ clipboard, được bật theo mặc định khi kết nối với máy từ xa.
Nguyễn Anh Tuấn
Theo The Hacker News
15:00 | 22/01/2019
16:00 | 18/09/2020
08:00 | 25/06/2018
09:00 | 11/09/2019
09:00 | 11/12/2018
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024
