Secuestro de DLL utilizado para explotar RDP - CVE-2023-24905
Aprovechando el secuestro de la biblioteca de vínculos dinámicos (DLL), el cliente RDP puede ser comprometido cuando intenta cargar un archivo desde el directorio de trabajo actual (CWD) en lugar del directorio del sistema operativo Windows.
El investigador Dor Dali de Cyolo Security encontró y reportó un RCE (CVE-2023-24905) que proviene de cambiar una DLL por un archivo malicioso, colocarlo en una ubicación de uso compartido de acceso común y luego engañar a un usuario para que lo ejecute. Curiosamente, este exploit solo afecta a los dispositivos que ejecutan el sistema operativo Windows en procesadores avanzados de máquinas RISC (ARM).
Tanto RDP como Windows OS en ARM se usan comúnmente en sistemas de control industrial (ICS) y otros entornos de tecnología operativa (OT), lo que hace que las empresas industriales y la infraestructura crítica sean el objetivo principal de este exploit.
La vulnerabilidad en RDP podría amenazar el cumplimiento - CVE-2023-35332
En condiciones normales, el protocolo RDP Gateway crea un canal seguro principal mediante el uso de TCP y TLS v1.2, un protocolo ampliamente aceptado para la comunicación segura. Además, se establece un canal secundario sobre el protocolo de datagramas de usuario (UDP), implementando la seguridad de la capa de transporte de datagramas (DTLS) 1.0. Es importante destacar que DTLS 1.0 está obsoleto desde marzo de 2021 debido a vulnerabilidades conocidas y riesgos de seguridad.
El canal UDP secundario es preocupante, especialmente porque utiliza un protocolo con muchos problemas conocidos (DTLS 1.0). El mayor desafío es que es posible que los operadores ni siquiera sepan que no cumplen con este protocolo obsoleto. El uso de protocolos de seguridad obsoletos, como DTLS 1.0, puede conducir al incumplimiento involuntario de los estándares y regulaciones de la industria.
Para evitar las consecuencias de estas vulnerabilidades, lo mejor que puede hacer es actualizar los clientes RDP y puertas de enlace con los parches que ha lanzado Microsoft (actualizaciones CVE-2023-24905 y CVE-2023-35332). Pero, inevitablemente, habrá otros RCE en RDP, y eso significa que el siguiente paso crucial es adelantarse a los actores de amenazas mediante la implementación de controles de acceso sólidos. Debido a que RDP se usa ampliamente en entornos OT/ICS que son casi imposibles de parchear, es especialmente importante que las organizaciones que ejecutan estos sistemas encuentren herramientas de seguridad que cumplan con sus requisitos especiales con respecto a la disponibilidad de los sistemas, la seguridad operativa y más.