connessione desktop remoto a una macchina potenzialmente compromessa

15

Sto usando rdesktop client su Linux per collegarmi a macchine Windows. Se alcune di queste macchine sono state compromesse da malware / virus / worm / trojan malvagi, esiste un modo in cui il malware "salta" sul mio computer tramite la connessione rdesktop?

Ho sempre pensato che fosse impossibile, ma recentemente ho leggi quella tecnologia simile, x2go è intrinsecamente insicura.

Modifica

Per chiarire la mia domanda, sono principalmente interessato se il protocollo rdp (o sessione) possa essere potenzialmente pericoloso per il client.

Non capisco le parti interne del protocollo rdp . Ma mi sembra che se il client rdesktop sta solo visualizzando immagini / bitmap, non c'è molto che un server potenzialmente compromesso possa fare. Se, d'altra parte, il client rdesktop sta interpretando alcuni comandi inviati dal server, potrebbe essere potenzialmente sfruttato.

Per analogia: I browser moderni non mostrano solo pagine Web HTML statiche. Invece, interpretano Javascript, Flash, ... È un client rdesktop simile in quanto interpreta i comandi potenzialmente pericolosi dal server?

Se l'unico pensiero che il client fa è il rendering delle immagini, oltre a qualche bug nella libreria di rendering, non può essere sfruttato. Sarebbe paragonabile a un visualizzatore di immagini che visualizza immagini jpg.

MODIFICA 2

Ci sono delle opzioni di configurazione per il client linux rdesktop che potrei usare per rendere la sessione più sicura? Ad esempio, non ho bisogno di "reindirizzamento del disco" o suono. In realtà, ho solo bisogno di un'immagine dello schermo e degli appunti ( ctrl + c , ctrl + v ).

Da quello che ho potuto leggere in man rdesktop , il reindirizzamento del disco e l'audio non sono attivati per impostazione predefinita. Ci sono forse alcune funzionalità che vengono attivate di default e che potrebbero portare a potenziali problemi di sicurezza?

    
posta Martin Vegter 21.02.2015 - 20:17
fonte

3 risposte

13

Da un punto di vista teorico, ci si connette a una macchina remota e sta inviando i dati alla macchina. Mentre nel contesto normale, questo è solo visualizzazione, dati sul tipo di posizione, è possibile che alcune sequenze di bit possano essere elaborate in modo tale da provocare un exploit nel tuo rdesktop o in un altro strumento utilizzato per effettuare la connessione remota.

Con qualsiasi connessione e qualsiasi tipo di programma questo è possibile, un browser, un client FTP, ecc.

Se sei preoccupato di connetterti a una macchina remota, ecco alcune cose che potresti provare a ridurre / mitigare il tuo rischio:

  • Carica rdesktop o il tuo strumento in sandbox, macchina virtuale, live CD, ecc. In questo modo, se c'è un exploit non compromette la tua macchina principale
  • Assicurati di eseguire la versione più aggiornata di rdesktop o di qualsiasi strumento lato client.

Per quanto riguarda il passaggio del malware da una macchina all'altra, è necessario conoscere e trarre vantaggio da alcune vulnerabilità in rdesktop e quindi utilizzare tale meccanismo per copiarsi. Se non c'è exploit nell'applicazione rdesktop, sarebbe improbabile che potesse semplicemente "saltare" trasferendo l'immagine visiva. Se hai qualche versione speciale o abiliti qualche tipo di condivisione di file o di trasferimento di file, scheda di clip condivisa, ecc. Allora sarebbe possibile che il malware utilizzi uno di questi canali.

Una rapida ricerca sul Web trova CVE-2008-1801, CVE-2008-1802, CVE-2008-1803 , che descrive una vulnerabilità legata alla connessione a un server desktop remoto vulnerabile (anche la macchina remota che si sta collegando).

In risposta alla tua modifica:

Non importa quale sia il payload dei dati, la trasmissione di file, l'immagine, il messaggio di chat, tutti i suoi dati. Vi sono anche dati di controllo, posizione del mouse, informazioni di aggiornamento, ecc. - sono necessari molti dati solo per mantenere la comunicazione aperta e inviare aggiornamenti. Il server compromesso può abusare del protocollo inviando dati che, quando elaborati dal client, causeranno un overflow del buffer, ecc. I dati potrebbero essere malformati o ben formati. È una questione di come questi bit sono interpretati. Anche Photoshop o un programma di editing video possono presentare vulnerabilità durante l'apertura e l'elaborazione dei dati.

CVE-2012-4170 è un esempio di un exploit derivante solo dall'elaborazione di un'immagine.

Per ottenere una migliore comprensione del protocollo RDP:

In breve, molti dati vengono inviati avanti e indietro e un sacco di elaborazioni diverse e complesse, ci sono molti luoghi in cui un utente malintenzionato potrebbe attirare l'attenzione e un server malintenzionato o dannoso potrebbe inviarlo appositamente predisposto pacchetti che devono essere elaborati da questi bug una volta trovati.

    
risposta data 21.02.2015 - 21:00
fonte
2

Una cosa da tenere a mente è che varie risorse condivise possono essere abilitate, a volte di default - certamente nel client RDP di Windows (temo di non conoscere il client Linux, ma è chiaro che il protocollo consente queste risorse condivise.) Ad esempio, gli appunti vengono automaticamente condivisi tra client e server per impostazione predefinita e le stampanti locali sono rese disponibili; è banale condividere il disco rigido con la sessione remota e (nel client Windows) questa opzione, se precedentemente utilizzata, rimane selezionata durante la connessione ai nuovi server. Presumibilmente qualsiasi malware sul box remoto potrebbe quindi infettare allegramente quello proprio come un altro drive montato.

Per riassumere: anche se la tecnologia di trasmissione dello schermo è sicura, altre risorse condivise possono introdurre rischi.

    
risposta data 26.02.2015 - 00:05
fonte
1

Il client rdesktop supporta la condivisione delle risorse con l'opzione -r .

Una directory locale dal PC di connessione può essere condivisa con il server remoto sotto una condivisione speciale in \ tsclient \ < sharename >

-r disk:<sharename>=<path>,...

Redirects a path to the share \tsclient\ on the server (requires Windows XP or newer). The share name is limited to 8 characters.

Quindi, nel caso in cui il server remoto sia stato infettato da malware, può potenzialmente infettare i tuoi file sul PC di connessione attraverso questa condivisione speciale. Ad esempio CryptoWall è un ransomware noto per crittografia di file su condivisioni di rete .

    
risposta data 02.03.2015 - 11:17
fonte

Leggi altre domande sui tag