Da un punto di vista teorico, ci si connette a una macchina remota e sta inviando i dati alla macchina. Mentre nel contesto normale, questo è solo visualizzazione, dati sul tipo di posizione, è possibile che alcune sequenze di bit possano essere elaborate in modo tale da provocare un exploit nel tuo rdesktop o in un altro strumento utilizzato per effettuare la connessione remota.

Con qualsiasi connessione e qualsiasi tipo di programma questo è possibile, un browser, un client FTP, ecc.

Se sei preoccupato di connetterti a una macchina remota, ecco alcune cose che potresti provare a ridurre / mitigare il tuo rischio:

• Carica rdesktop o il tuo strumento in sandbox, macchina virtuale, live CD, ecc. In questo modo, se c'è un exploit non compromette la tua macchina principale
• Assicurati di eseguire la versione più aggiornata di rdesktop o di qualsiasi strumento lato client.

Per quanto riguarda il passaggio del malware da una macchina all'altra, è necessario conoscere e trarre vantaggio da alcune vulnerabilità in rdesktop e quindi utilizzare tale meccanismo per copiarsi. Se non c'è exploit nell'applicazione rdesktop, sarebbe improbabile che potesse semplicemente "saltare" trasferendo l'immagine visiva. Se hai qualche versione speciale o abiliti qualche tipo di condivisione di file o di trasferimento di file, scheda di clip condivisa, ecc. Allora sarebbe possibile che il malware utilizzi uno di questi canali.

Una rapida ricerca sul Web trova CVE-2008-1801, CVE-2008-1802, CVE-2008-1803 , che descrive una vulnerabilità legata alla connessione a un server desktop remoto vulnerabile (anche la macchina remota che si sta collegando).

In risposta alla tua modifica:

Non importa quale sia il payload dei dati, la trasmissione di file, l'immagine, il messaggio di chat, tutti i suoi dati. Vi sono anche dati di controllo, posizione del mouse, informazioni di aggiornamento, ecc. - sono necessari molti dati solo per mantenere la comunicazione aperta e inviare aggiornamenti. Il server compromesso può abusare del protocollo inviando dati che, quando elaborati dal client, causeranno un overflow del buffer, ecc. I dati potrebbero essere malformati o ben formati. È una questione di come questi bit sono interpretati. Anche Photoshop o un programma di editing video possono presentare vulnerabilità durante l'apertura e l'elaborazione dei dati.

CVE-2012-4170 è un esempio di un exploit derivante solo dall'elaborazione di un'immagine.

Per ottenere una migliore comprensione del protocollo RDP:

• Riepilogo di RDP su MSDN
• Una camminata più approfondita

In breve, molti dati vengono inviati avanti e indietro e un sacco di elaborazioni diverse e complesse, ci sono molti luoghi in cui un utente malintenzionato potrebbe attirare l'attenzione e un server malintenzionato o dannoso potrebbe inviarlo appositamente predisposto pacchetti che devono essere elaborati da questi bug una volta trovati.

Una cosa da tenere a mente è che varie risorse condivise possono essere abilitate, a volte di default - certamente nel client RDP di Windows (temo di non conoscere il client Linux, ma è chiaro che il protocollo consente queste risorse condivise.) Ad esempio, gli appunti vengono automaticamente condivisi tra client e server per impostazione predefinita e le stampanti locali sono rese disponibili; è banale condividere il disco rigido con la sessione remota e (nel client Windows) questa opzione, se precedentemente utilizzata, rimane selezionata durante la connessione ai nuovi server. Presumibilmente qualsiasi malware sul box remoto potrebbe quindi infettare allegramente quello proprio come un altro drive montato.

Per riassumere: anche se la tecnologia di trasmissione dello schermo è sicura, altre risorse condivise possono introdurre rischi.

Il client rdesktop supporta la condivisione delle risorse con l'opzione -r .

Una directory locale dal PC di connessione può essere condivisa con il server remoto sotto una condivisione speciale in \ tsclient \ < sharename >

-r disk:<sharename>=<path>,...

Redirects a path to the share \tsclient\ on the server (requires Windows XP or newer). The share name is limited to 8 characters.

Quindi, nel caso in cui il server remoto sia stato infettato da malware, può potenzialmente infettare i tuoi file sul PC di connessione attraverso questa condivisione speciale. Ad esempio CryptoWall è un ransomware noto per crittografia di file su condivisioni di rete .