RDP (Remote Desktop Protocol) cho phép người dùng kết nối với máy tính từ xa. Giao thức này thường được sử dụng bởi các kỹ thuật viên và quản trị viên CNTT để kết nối từ xa với các thiết bị khác trên mạng.
RDP ban đầu được Microsoft phát triển cho hệ điều hành Windows của mình, nhưng có một số máy khách nguồn mở cho giao thức RDP có thể được sử dụng trên Linux cũng như các hệ thống Unix.
Các nhà nghiên cứu của Check Point đã tiến hành phân tích chi tiết 03 ứng dụng khách RDP được sử dụng phổ biến nhất là FreeRDP, rdesktop và Windows RDP client (đi kèm với hệ điều hành) và tìm ra 25 lỗi bảo mật, một số lỗi trong đó thậm chí có thể cho phép máy chủ RDP độc hại điều khiển từ xa các máy tính của khách chạy phần mềm RDP.
FreeRDP, ứng dụng RDP client mã nguồn mở phổ biến và trưởng thành nhất trên Github có thể bị tấn công bằng 06 lỗ hổng, 05 trong số đó là các vấn đề lỗi bộ nhớ khá lớn, thậm chí có thể dẫn đến việc thực thi mã từ xa trên máy tính của khách hàng.
Rdesktop, một RDP client mã nguồn mở cũ hơn được cài mặc định trong các bản phân phối Kali Linux, được phát hiện là RDP client dễ bị tấn công nhất với tổng số 19 lỗ hổng, 11 trong số đó có thể cho phép máy chủ RDP độc hại thực thi mã tùy ý trên máy tính của người dùng.
Mặc dù RDP client có sẵn trong Windows không chứa bất kỳ lỗi thực thi mã từ xa nào, các nhà nghiên cứu đã phát hiện ra một số tình huống tấn công thú vị có thể xảy ra do máy khách và máy chủ chia sẻ dữ liệu clipboard, cho phép máy khách truy cập và sửa đổi dữ liệu clipboard trên máy chủ và ngược lại.
"Một máy chủ RDP độc hại có thể nghe lén trên clipboard của máy khách. Đây là một tính năng, không phải là lỗi. Ví dụ, máy khách sao chép mật khẩu quản trị viên cục bộ và bây giờ máy chủ cũng có nó", các nhà nghiên cứu chia sẻ trong khi giải thích kịch bản tấn công đầu tiên.
"Máy chủ RDP độc hại có thể sửa đổi bất kỳ nội dung clipboard nào được máy khách sử dụng, ngay cả khi máy khách không phát hành thao tác "sao chép" bên trong cửa sổ RDP. Nếu người dùng nhấp vào "dán" khi mở kết nối RDP, người dùng có thể bị tấn công bởi kịch bản thứ hai".
Trong một video khác, các nhà nghiên cứu đã trình diễn cách tấn công clipboard bằng phần mềm RDP của Microsoft thậm chí có thể cho phép máy chủ RDP độc hại lừa hệ thống máy khách lưu tệp phần mềm độc hại trong thư mục khởi động của Windows, sẽ tự động được thực thi mỗi khi hệ thống khởi động.
Các nhà nghiên cứu đã báo cáo các lỗ hổng cho các nhà phát triển của các RDP client bị ảnh hưởng vào tháng 10/2018.
FreeRDP đã vá các lỗ hổng trong phiên bản v2.0.0-RC4 và triển khai bản phát hành phần mềm cho kho lưu trữ GitHub của nó chưa đầy một tháng sau khi được thông báo.
Rdesktop đã vá lỗi trong phiên bản v1.8.4 và đưa ra bản sửa lỗi vào giữa tháng 1/2019.
Microsoft thừa nhận phát hiện của các nhà nghiên cứu nhưng chưa xử lý các vấn đề được thông báo. Tuy nhiên, người dùng máy khách Windows RDP có thể tự bảo vệ mình trước các cuộc tấn công được các nhà nghiên cứu phát hiện bằng cách vô hiệu hóa tính năng chia sẻ clipboard, được bật theo mặc định khi kết nối với máy từ xa.
Nguyễn Anh Tuấn
Theo The Hacker News
15:00 | 22/01/2019
16:00 | 18/09/2020
08:00 | 25/06/2018
09:00 | 11/09/2019
09:00 | 11/12/2018
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024