Posible forma de evadir controles de seguridad al utilizar RDP

Los investigadores de seguridad de Cymulate descubrieron una nueva técnica de evasión de defensa de malware oculto que permite a los piratas informáticos ejecutar código malicioso utilizando el Protocolo de escritorio remoto (RDP) de Microsoft utilizando la técnica de carga lateral de DLL.

Mientras analizaban MSTSC y RDP, observaron esta técnica única que permite a los atacantes eludir los controles de seguridad.

Código malicioso a través de RDP
Con la máquina de Windows para ejecutar RDP, se utiliza Microsoft Terminal Services Client (MSTSC) y este MSTSC se basa en un archivo DLL (mstscax.dll) como uno de sus recursos.

Cymulate identificó que «Microsoft Terminal Services Client (MSTSC) realiza la carga retardada de mstscax.dll con un comportamiento que puede provocar que los hackers pasen por alto los controles de seguridad. El ejecutable carga explícitamente «mstscax.dll» sin verificaciones de integridad para validar el código de la biblioteca «.

Un atacante podría usar este punto ciego para reemplazar el «mstscax.dll» que está presente en la carpeta C: \ Windows \ System32 o copiándolo en una carpeta externa que no requiere privilegios de administrador.

Según los investigadores, esto es posible ya que «mstsc.exe no carga explícitamente la DLL desde la carpeta system32».

«Este comportamiento lleva a la capacidad de un adversario para ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker».

Cymulate ha informado sobre la vulnerabilidad a Microsoft, quien se negó a aplicar parches e informó que «System32 requiere privilegios de administrador y, por lo tanto, no es una amenaza percibida».

«Las empresas deben ser informadas inmediatamente de esta amenaza para mitigar los ataques, ya que eludirá los controles de seguridad», dijo el director de tecnología de Cymulate, Avihai Ben-Yossef.

Los piratas informáticos pueden aprovechar el hecho de que la mayoría de los controles de seguridad no protegen mstsc.exe como lo firmó Microsoft.

Para mitigar esta amenaza, se recomienda a los usuarios deshabilitar el uso de mstsc.exe y monitorear el comportamiento anormal malicioso que ejecuta mstsc.exe.

También han publicado un vídeo con la demostración.

Fuente: cybersecuritynews.com

Comments are closed.