Posible Forma De Evadir Controles De Seguridad Al Utilizar RDP
Los investigadores de seguridad de Cymulate descubrieron una nueva técnica de evasión que permitiría ejecutar código malicioso utilizando el Protocolo de escritorio remoto (RDP) de Microsoft, utilizando la técnica de carga lateral de DLL.
Mientras analizaban MSTSC y RDP, observaron esta técnica única que permite a los atacantes eludir los controles de seguridad.
Un Windows que ejecuta RDP utiliza el Cliente de Servicios de Terminal Server de Microsoft (MSTSC) y este MSTSC se basa en un archivo DLL (mstscax.dll). Cymulate identificó que "Microsoft Terminal Services Client (MSTSC) realiza la carga retardada de mstscax.dll con un comportamiento que puede provocar que un atacante pase por alto los controles de seguridad. El ejecutable carga explícitamente "mstscax.dll" sin verificaciones de integridad para validar el código de la biblioteca".
Un atacante podría usar este punto ciego para reemplazar el "mstscax.dll" que está presente en la carpeta "C:\Windows\System32" o copiándolo en una carpeta externa que no requiere privilegios de administrador.
Según los investigadores, esto es posible ya que "mstsc.exe no carga explícitamente la DLL desde la carpeta system32. Este comportamiento lleva a ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker". También han publicado un video con la demostración.
Cymulate ha informado sobre la vulnerabilidad a Microsoft, quien por ahora se negó a aplicar parches e informó que "System32 requiere privilegios de administrador y, por lo tanto, no es una amenaza percibida".
Para mitigar esta amenaza, se recomienda a los usuarios deshabilitar el uso de mstsc.exe y monitorear el comportamiento anormal malicioso.
Fuente: Cybersecuritynews
Mientras analizaban MSTSC y RDP, observaron esta técnica única que permite a los atacantes eludir los controles de seguridad.
Un Windows que ejecuta RDP utiliza el Cliente de Servicios de Terminal Server de Microsoft (MSTSC) y este MSTSC se basa en un archivo DLL (mstscax.dll). Cymulate identificó que "Microsoft Terminal Services Client (MSTSC) realiza la carga retardada de mstscax.dll con un comportamiento que puede provocar que un atacante pase por alto los controles de seguridad. El ejecutable carga explícitamente "mstscax.dll" sin verificaciones de integridad para validar el código de la biblioteca".
Un atacante podría usar este punto ciego para reemplazar el "mstscax.dll" que está presente en la carpeta "C:\Windows\System32" o copiándolo en una carpeta externa que no requiere privilegios de administrador.
Según los investigadores, esto es posible ya que "mstsc.exe no carga explícitamente la DLL desde la carpeta system32. Este comportamiento lleva a ejecutar código malicioso en el contexto de Mstsc.exe firmado digitalmente y, por lo tanto, omitir los controles de seguridad como AppLocker". También han publicado un video con la demostración.
Cymulate ha informado sobre la vulnerabilidad a Microsoft, quien por ahora se negó a aplicar parches e informó que "System32 requiere privilegios de administrador y, por lo tanto, no es una amenaza percibida".
Para mitigar esta amenaza, se recomienda a los usuarios deshabilitar el uso de mstsc.exe y monitorear el comportamiento anormal malicioso.
Fuente: Cybersecuritynews
Via: feedproxy.google.com
Posible Forma De Evadir Controles De Seguridad Al Utilizar RDP
Reviewed by Anónimo
on
6:36
Rating: