Vlákno názorů k článku
Chyba v RDP klientech umožňuje vzdáleně spustit cizí kód od crucinal1 - Opsravedlnujem sa ale len si chcem upresnit ci...

Opsravedlnujem sa ale len si chcem upresnit ci tomu správne rozumiem. Na ukazkovom videu, bezi na Windowse server, na ktorý sa pokusa clovek pripojit z Linuxu cez RDP. Akonahle sa pripoji, tak sa spusti v tomto pripade python script a nezobrazi vzdialenu plochu ale spusti namiesto toho kalkulacku ?

Dakujem

Ano, princip je v tom, že server dokáže napadnout zpětně klienta a spustit u něj libovolný příkaz. V tomto demonstračním příkladu je to kalkulačka, ale může to být cokoliv.

Jasne rozumiem, diky.

Tedy napřed musí být úspěšně napaden server. A protože se asi nebudu nazdařbůh připojovat na náhodně nalezená nahatá RDPčka, musel by se napřed někdo dostat do (v mém případě) air-gapnutých sítí, tam nakazit terminal servery, a z nich útočit na klienty.
Tak jo, jdu nakoupit MREčka, protože je konec světa.

Nevím jak ve světě Windows, ale v Linuxu je docela běžné, že mi zákazník zavolá, že má rozbitý server, abych převzal jeho správu. Já se tam připojím po SSH a začnu se rozhlížet. Byl by dost problém, kdyby mi takový server mohl napadnout stanici a cokoliv si z ní odnést.

Předpokládám, že totéž platí o Windows a RDP. Když vám někdo zavolá, že má rozbitý Windows Server a objedná si u vás opravu, že se na něj tím klientem připojíte. Nebo ne?

Zde je ještě dlužno dodat, že právě napadený server je takový, který vyžaduje zásah a tedy i RDP. Zde předpoklad částečně koreluje s důsledkem.

Na druhou stranu, asi daleko častější bude připojování pomocí originálnícho Microsoftího RDP klienta, takže to riziko snad nebude v reálném světě tak moc exploitovatelné. Pokud správce dbá na bezpečnost, tak má na RDP serveru nastavené ověřování na úrovni sítě, a pokud se nemýlím, na to dokonce ani Linuxový klient neexistuje.

Ano, je to možný scénář a nelze to přejít ani náhodou. Kdo má třeba vypnuté SMBv1? *
Takže v síti, kam si lidi připojují vlastní zařízení, může být méně bezpečno, než se zdá.
Jako že mě tohle neživí, tak těch pár případů, co jsem řešil, bylo ovšem spíš ve stavu, že se server s nikým nebavil. Navíc skutečný internet má málokdo a nadefinovat ještě pravidlo v NATu... Když dojde na takovýto vzdálený zásah, použije se většinou TeamViewer.
*) když si tuto nebezpečnou věc vypnete, tak vám třeba přestanou komunikovat některé multifunkční tiskárny (skenování), WinXP/2003 server (jo, občas to někdo ještě provozuje) a ještě velmi nedávno Samba taky trvala na SMBv1 (jistě, 2 řádky v konfiguraci to spraví, ale out-of-box tam ještě loni v půlce roku nebývaly).