Microsoft heeft een eerdere beslissing om een ​​fout in de Remote Desktop Protocol (RDP)-client niet te patchen ongedaan gemaakt. Afgelopen juli gaf de softwaregigant alsnog een patch vrij voor de remote code execution bug.
De patch genaamd CVE-2019-0887 corrigeert hoe Remote Desktop Services omgaat met clipboard redirection. Afgelopen oktober informeerde Eyal Itkin, onderzoeker bij Check Point, Microsoft over een fout in zijn RDP-client. Microsoft erkende de fout, maar zag af van een patch gezien deze niet tot de service van de softwaregigant reikte, aldus ZDnet.
Itkin ontdekte onlangs dat een kwaadwillend persoon de fout in de RDP-client van Microsoft kan gebruiken voor een sandbox-escape of een guest-to-host-virtuele machine (VM) escape in Microsoft’s Hyper-V Manager. Microsoft ondernam alsnog stappen toen inderdaad bleek dat dezelfde fout kan worden gebruikt om Hyper-V-virtualisatiesoftware in Windows 10 en Azure aan te vallen.
Hyper-V Enhanced Sessions
De link tussen de RDP client en Hyper-V kan gevonden worden in de manier waarop Microsoft RDP gebruikt in Hyper-V Enhanced Sessions, die standaard is ingeschakeld. Bovendien is deze ontworpen om de ervaring te verbeteren bij het bekijken van VM’s. Enhanced Sessions bieden extra mogelijkheden, waaronder het delen van clipboard-data tussen een gast en de host.
Itkins deed eerder onderzoek naar multiple RDP-clients. Hij wilde erachter komen of een RDP-server controle kan krijgen over een computer waarmee hij via de RDP-client is verbonden. Normaal krijgt een RDP-client toegang via een externe server. Bovendien kunnen gebruikers bestanden kopieren en plakken naar een andere computer, door gebruik te maken van de clipboard-sharing-functie.
Path-traversal kwetsbaarheid
De onderzoeker vond echter een zogeheten path-traversal kwetsbaarheid in Microsoft”s RDP, ook wel bekend als een directory traversal. Deze geeft een kwaadaardige RDP-server toestemming om willekeurige bestanden naar een client te verzenden. Met behulp van de clipboard-sharing-functie kunnen deze worden overgenomen. Bovendien werkte de RDA-fout op precies dezelfde manier in de Hyper-V GUI.
“Het blijkt dat RDP achter de schermen wordt gebruikt als de controle plane voor Hyper-V. In plaats het delen van schermen, remote keyboard en gesynchroniseerde clipboard-functies opnieuw te implementeren, besloot Microsoft dat al deze functies al als onderdeel van RDP zijn geïmplementeerd. Waarom ze in dat geval niet gebruiken?”, constateert Itkins.
Whitepaper
Itkins en Dana Baril, security Software Engineer bij Microsoft Defender ATP, gaan in een whitepaper genaamd ‘He Said, She Said – Poisoned RDP Offense and Defense‘ dieper in op de bevindingen. “Ons onderzoek onthulde een belangrijke design-les: wanneer een functie onder bepaalde omstandigheden ontwikkeld is, moeten functies opnieuw worden bekeken, als de omgeving verandert”, leest een gezamenlijke conclusie.
Gerelateerd: Remote Desktop Protocol aantrekkelijk bij hackers volgens Sophos