Разкрити са подробности за уязвимостта на Windows RDP с два пъти корекции

Изследователи от фирмата за сигурност на идентичността CyberArk тази седмица споделиха техническа информация за уязвимост на RDP с име pipe в Windows, за която Microsoft трябваше да пусне два кръга от корекции.

Проследено като CVE-2022-21893проблемът първоначално беше разгледан на Пач от януари 2022 г. вторник, но анализът на корекцията разкри, че нов вектор на атака не е бил закърпен. В Patch Tuesday от април 2022 г. Microsoft разреши грешката като CVE-2022-24533.

CVE-2022-21893, обяснява CyberArk, е уязвимост на услугите за отдалечен работен плот на Windows, която може да позволи на непривилегирован потребител, който осъществява достъп до машина чрез RDP, да получи достъп до файловата система на клиентските машини на други свързани потребители.

Проблемът също така ще позволи на нападателя да преглежда и променя данните на други свързани потребители, включително съдържание на клипборда, прехвърлени файлове и ПИН кодове на смарт карти. Нападателят може също да се представя за други потребители, влезли в машината, и да получи достъп до пренасочените устройства на жертвата, включително USB устройства, твърди дискове и др.

„Това може да доведе до проблеми с поверителността на данните, странично движение и ескалация на привилегиите“, Бележки на CyberArk.

Според изследователите уязвимостта съществува, защото разрешенията за наименовани канали се обработват неправилно в услугите за отдалечен работен плот, като по този начин позволяват на потребител с нормални привилегии да „превземе виртуалните канали на RDP в други свързани сесии“.

„Именуваната тръба е създадена по такъв начин, че позволява на всеки потребител в системата да създава допълнителни екземпляри на сървър с име на канал със същото име“, обяснява CyberArk.

Първоначалната корекция промени разрешенията за канали, като по този начин не позволява на стандартните потребители да създават сървъри с именувани канали. Въпреки това, той не адресира риска, свързан със създаването на първия канален сървър, когато потребителят може да зададе разрешения за следващите екземпляри.

„В случай, че множество екземпляри на канал са създадени с едно и също име, дескрипторът за защита, предаден на първото извикване на CreateNamedPipe (), ще бъде използван за всички екземпляри. При следващи повиквания може да се предаде различен дескриптор за сигурност, но той ще бъде игнориран. Така че, в случай че нападателят създаде първия екземпляр на канала, той може да контролира разрешенията за други екземпляри“, отбелязва CyberArk.

Следване корекцията от април 2022 г, се генерира нов GUID за нови канали – по този начин се предотвратява нападателите да предвидят следващото име на канал – и сървърът на канала се създава с новото уникално име. Освен това, Microsoft въведе допълнителен контрол, за да провери текущия идентификатор на процес спрямо посочения идентификатор на процес на сървър на канал.

„Това е допълнителен контрол, който гарантира, че дори ако нападателят може по някакъв начин да предвиди GUID, атаката няма да работи, тъй като те ще имат различен идентификатор на процес. В този случай същият процес създава сървъра и клиента на канала (ръководителят на клиента по-късно се връща към процеса на извикване), така че е лесно да се извърши тази проверка. С тези промени рисковете от тази уязвимост бяха адекватно адресирани“, отбелязва CyberArk.

Свързани: Актуализациите на Windows коригират активно използваната уязвимост „Follina“.

Свързани: Пач вторник: Microsoft предупреждава за експлоатиране на нов нулев ден

Свързани: Уязвимостите на Windows Print Spooler все по-често се експлоатират при атаки

Йонут Аргире е международен кореспондент на SecurityWeek.

Предишни колони от Ionut Arghire:
Етикети:

.