Tijdens Black Hat Asia presenteerden security researchers Eyal Karni, Yaron Zinar en Roman Blachman een security probleem in de Microsoft Remote Desktop (RDP) applicatie van Microsoft. RDP wordt door miljoenen mensen wereldwijd gebruikt om thuis te kunnen werken met de applicaties die via het werk beschikbaar worden gesteld. Ook systeembeheerders maken veelvuldig gebruik van RDP om servers op afstand te beheren.

Man in the middle

De kwetsbaarheid in RDP zorgde ervoor dat gebruikersnamen en wachtwoorden buitgemaakt kunnen worden. Daarvoor is een zogenaamde man-in-the-middle-aanval (MITM-aanval) nodig. MITM-aanval is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierbij bevindt de computer van de aanvaller zich tussen de twee communicerende partijen. De berichten kunnen daarbij mogelijk gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven. De naam van de aanval verwijst naar de derde persoon die in het midden tussen de twee partijen staat en de langskomende berichten bekijkt en aanpast.

Kwetsbaarheid gevolg van een compromis

Bij het onderzoeken van de kwetsbaarheid kwamen de onderzoekers erachter dat Microsoft ervoor gekozen had om af te wijken van de normale aanmeld procedures op een Windows domein. Wanneer je vanaf je computer verbinding maakt met een Microsoft domein, dan worden er normaliter een aantal stappen doorlopen om te bepalen of het netwerk betrouwbaar is, of de gebruiker mag inloggen en om te bepalen hoe er op een veilige manier gecommuniceerd kan worden tussen de computer en het netwerk. Om aan te melden via RDP werden deze stappen ook doorlopen, maar dan op een andere volgorde.

De reden hiervoor is simpel. Om van buiten het netwerk, dus bijvoorbeeld vanaf een thuis computer, aan te kunnen melden op een windows domein, is het essentieel dat de thuiscomputer security certificaten van het kantoornetwerk kan toetsen op betrouwbaarheid. Omdat je echter van buiten het netwerk inlogt, kan dit niet eenvoudig en zal je Windows computer een foutmelding geven. Deze foutmelding krijg je niet als al een andere stap in het aanmeld proces doorlopen is. om vervelende beveiligingsmeldingen voor gebruikers te voorkomen hebben de ontwikkelaars er dus voor gekozen om twee stappen om te draaien.

Prettig voor de gebruiker, maar ook voor een computercrimineel! Want doordat deze twee stappen omgedraaid zijn, is een kwaadwillende hacker in staat om de aanmeld poging van een gebruiker te onderscheppen en zo inloggegevens buit te maken.

Patch beschikbaar

Deze hack is niet eenvoudig uit te voeren. En omdat je als kwaadwillende al toegang moet hebben tot het netwerk niet de meest voor de hand liggende hack optie. Er zijn een aantal andere meer eenvoudige manieren om gebruikersgegevens te achterhalen. Gelukkig heeft Microsoft het probleem inmiddels onderkend en een patch beschikbaar gesteld om het probleem op te lossen. Patchen en updaten dus!

Belang van doorlopend scannen en monitoren

De vondst van deze kwetsbaarheid onderstreept voor ons het belang van continu scannen en monitoren van servers en andere netwerkcomponenten. RDP wordt al jaren gebruikt en tot voor kort was dit security probleem niet bekend. Opeens was het daar en vormde het een bedreiging voor de veiligheid, integriteit en betrouwbaarheid van miljoenen systemen wereldwijd. Door continu scanning en monitoring is een organisatie hier snel van op de hoogte, kan zij snel handelen en problemen voorkomen!

Bronnen

https://www.blackhat.com/asia-18/briefings.html#server-tailgating-a-chosen-plaintext-attack-on-rdp

https://nl.wikipedia.org/wiki/Man-in-the-middle-aanval