RDP (Remote Desktop Protocol) cho phép người dùng kết nối với máy tính từ xa. Giao thức này thường được sử dụng bởi các kỹ thuật viên và quản trị viên CNTT để kết nối từ xa với các thiết bị khác trên mạng.
RDP ban đầu được Microsoft phát triển cho hệ điều hành Windows của mình, nhưng có một số máy khách nguồn mở cho giao thức RDP có thể được sử dụng trên Linux cũng như các hệ thống Unix.
Các nhà nghiên cứu của Check Point đã tiến hành phân tích chi tiết 03 ứng dụng khách RDP được sử dụng phổ biến nhất là FreeRDP, rdesktop và Windows RDP client (đi kèm với hệ điều hành) và tìm ra 25 lỗi bảo mật, một số lỗi trong đó thậm chí có thể cho phép máy chủ RDP độc hại điều khiển từ xa các máy tính của khách chạy phần mềm RDP.
FreeRDP, ứng dụng RDP client mã nguồn mở phổ biến và trưởng thành nhất trên Github có thể bị tấn công bằng 06 lỗ hổng, 05 trong số đó là các vấn đề lỗi bộ nhớ khá lớn, thậm chí có thể dẫn đến việc thực thi mã từ xa trên máy tính của khách hàng.
Rdesktop, một RDP client mã nguồn mở cũ hơn được cài mặc định trong các bản phân phối Kali Linux, được phát hiện là RDP client dễ bị tấn công nhất với tổng số 19 lỗ hổng, 11 trong số đó có thể cho phép máy chủ RDP độc hại thực thi mã tùy ý trên máy tính của người dùng.
Mặc dù RDP client có sẵn trong Windows không chứa bất kỳ lỗi thực thi mã từ xa nào, các nhà nghiên cứu đã phát hiện ra một số tình huống tấn công thú vị có thể xảy ra do máy khách và máy chủ chia sẻ dữ liệu clipboard, cho phép máy khách truy cập và sửa đổi dữ liệu clipboard trên máy chủ và ngược lại.
"Một máy chủ RDP độc hại có thể nghe lén trên clipboard của máy khách. Đây là một tính năng, không phải là lỗi. Ví dụ, máy khách sao chép mật khẩu quản trị viên cục bộ và bây giờ máy chủ cũng có nó", các nhà nghiên cứu chia sẻ trong khi giải thích kịch bản tấn công đầu tiên.
"Máy chủ RDP độc hại có thể sửa đổi bất kỳ nội dung clipboard nào được máy khách sử dụng, ngay cả khi máy khách không phát hành thao tác "sao chép" bên trong cửa sổ RDP. Nếu người dùng nhấp vào "dán" khi mở kết nối RDP, người dùng có thể bị tấn công bởi kịch bản thứ hai".
Trong một video khác, các nhà nghiên cứu đã trình diễn cách tấn công clipboard bằng phần mềm RDP của Microsoft thậm chí có thể cho phép máy chủ RDP độc hại lừa hệ thống máy khách lưu tệp phần mềm độc hại trong thư mục khởi động của Windows, sẽ tự động được thực thi mỗi khi hệ thống khởi động.
Các nhà nghiên cứu đã báo cáo các lỗ hổng cho các nhà phát triển của các RDP client bị ảnh hưởng vào tháng 10/2018.
FreeRDP đã vá các lỗ hổng trong phiên bản v2.0.0-RC4 và triển khai bản phát hành phần mềm cho kho lưu trữ GitHub của nó chưa đầy một tháng sau khi được thông báo.
Rdesktop đã vá lỗi trong phiên bản v1.8.4 và đưa ra bản sửa lỗi vào giữa tháng 1/2019.
Microsoft thừa nhận phát hiện của các nhà nghiên cứu nhưng chưa xử lý các vấn đề được thông báo. Tuy nhiên, người dùng máy khách Windows RDP có thể tự bảo vệ mình trước các cuộc tấn công được các nhà nghiên cứu phát hiện bằng cách vô hiệu hóa tính năng chia sẻ clipboard, được bật theo mặc định khi kết nối với máy từ xa.
Nguyễn Anh Tuấn
Theo The Hacker News
15:00 | 22/01/2019
16:00 | 18/09/2020
08:00 | 25/06/2018
09:00 | 11/09/2019
09:00 | 11/12/2018
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025