07 Кві, 2023

Протокол віддаленого робочого столу (RDP)

Penetration Testing as a service (PTaaS)

Tests security measures and simulates attacks to identify weaknesses.

RDP (протокол віддаленого робочого столу) це закритий протокол, розроблений корпорацією Microsoft, який забезпечує віддалений доступ до робочого стола, додатків і ресурсів на віддаленому комп'ютері через мережеве підключення. RDP в основному використовується для віддаленого адміністрування та надання віддаленої допомоги, дозволяючи адміністраторам і персоналу служби підтримки дистанційно керувати комп'ютерами і прикладними програмами і виправляти неполадки.

Загальні порти RDP

На додаток до порту 3389наступні порти також можуть використовуватися RDP:

  • TCP 3388: Цей порт використовується RDP в середовищі з балансуванням навантаження, де кілька серверів надають служби віддаленого робочого столу.

  • TCP 3387: Цей порт використовується RDP для додаткового порту прослуховування у разі, якщо основний порт прослуховування (3389) недоступний.

  • TCP 3390: Цей порт іноді використовується в якості альтернативного порту для RDP в деяких конфігураціях VPN.

Стандартні команди від неавторизованих

Windows – mstsc /v:54.208.6.83:3389

IP-адреса Linux – rdesktop

auxiliary/scanner/rdp/rdp_scanner

Розвідувальна або нестандартна команда

nmap -p3389 –script rdp-enum-encryption 10.0.0.4

(Версія 5.2 RDP у конфігурації за замовчуванням вразлива для mitm)

nmap -p 3389 –script rdp-ntlm-info <target>

Грубе силове підключення

https://github.com/vanhauser-thc/thc-hydra

hydra -t 1 -V -f -l administrator -P wordlist.txt rdp://192.168.0.100

Запуск експлойтів

auxiliary/scanner/rdp/ms12_020_check (checked)

Інструменти для використання протоколу RDP

Ручні Інструменти:

  • Диспетчер підключень віддаленого робочого столу Microsoft (RDCMan) – RDCMan - популярний ручний інструмент, який використовується для управління декількома підключень до віддаленого робочого столу. Це дозволяє вам переглядати кілька сеансів віддаленого робочого столу і управляти ними з одного інтерфейсу.

  • mstsc.exe – Це клієнтське додаток для підключення до віддаленого робочого столу за замовчуванням, вбудований у Windows. Це дозволяє підключатися до віддаленого робочого столу Windows або сервера.

  • Remote Desktop Manager – Це сторонній інструмент управління підключення до віддаленого робочого столу, який дозволяє вам керувати кількома віддаленими робочими столами і підключатися до них з одного інтерфейсу.

  • FreeRDP – Це реалізація протоколу віддаленого робочого столу (RDP) з відкритим вихідним кодом, яка дозволяє підключатися до віддаленого робочого столу Windows або сервера з комп'ютера Linux.

  • rdesktop – Це ще один RDP-клієнт з відкритим вихідним кодом для Linux, який дозволяє підключатися до віддаленого робочого столу Windows або сервера.

Автоматизовані інструменти:

  • Ncrack – Ncrack - це інструмент для злому мережевий аутентифікації, який можна використовувати для перевірки аутентифікації RDP. Він підтримує RDP версій 4 і 5.

  • Hydra – Hydra - це інструмент для злому мережевий аутентифікації, який підтримує аутентифікацію RDP. Його можна використовувати для перевірки на наявність слабких паролів при з'єднаннях RDP.

  • Medusa – Medusa - це ще один інструмент для злому мережевий аутентифікації, який підтримує аутентифікацію RDP. Він призначений для паралельного тестування декількох віддалених серверів і служб.

  • TSGrinder – TSGrinder - це інструмент, спеціально розроблений для примусового RDP-підключення. Він може перевіряти наявність слабких паролів і намагатися отримати доступ до віддалених систем.

  • RDPY – RDPY - це інструмент тестування RDP на проникнення з відкритим вихідним кодом, який можна використовувати для перевірки RDP на наявність вразливостей і слабких місць у системі безпеки.

  • RDPScan – RDPScan - це інструмент командного рядка, який сканує мережі на наявність відкритих серверів RDP. Він може бути використаний для визначення потенційних цілей для тестування та експлуатації RDP.

  • RDPTT – RDPTT (RDP Security Tool) - це інструмент тестування безпеки RDP, який можна використовувати для перевірки вразливостей і недоліків безпеки в з'єднаннях RDP.

  • RDP-Check – RDP-Check - це інструмент для тестування безпеки RDP-з'єднань. Його можна використовувати для перевірки на наявність слабких паролів, атак методом перебору та інших вразливостей.

  • RDPY-Tools – RDPY-Tools - це набір інструментів тестування безпеки RDP, які можна використовувати для перевірки RDP на наявність вразливостей і слабких місць у системі безпеки.

  • RDPScanGUI – RDPScanGUI - це графічний користувальницький інтерфейс (GUI) для сканування і тестування RDP. Це дозволяє вам легко сканувати мережі на наявність відкритих RDP-серверів і перевіряти їх на наявність вразливостей.

Останні п'ять відомих CVE для RDP

 CVE-2023-20123: Уразливість в режимі автономного доступу двофакторної аутентифікації Cisco Duo для macOS і аутентифікації Duo для входу в систему Windows і RDP може дозволити зловмиснику, який не пройшов перевірку автентичності, відтворити дійсні облікові дані сеансу користувача та отримати несанкціонований доступ до уразливого пристрою macOS та Windows. Ця уразливість існує через неправильне закінчення терміну дії облікових даних сеансу. Зловмисник може скористатися цією уразливістю, відтворивши раніше використовувалися коди багатофакторної аутентифікації (MFA), щоб обійти захист MFA. Успішний експлойт може дозволити зловмиснику отримати несанкціонований доступ до уразливого пристрою. 

• CVE-2022-24883: FreeRDP - це безкоштовна реалізація протоколу віддаленого робочого столу (RDP). До версії 2.7.0 перевірка справжності на стороні сервера з використанням файлу `SAM` могла бути успішною для недійсних облікових даних, якщо сервер налаштував неприпустимий шлях до файлу `SAM`. Клієнти, засновані на FreeRDP, не порушені. Порушені реалізації сервера RDP, використовують FreeRDP для аутентифікації файлі `SAM`. Версія 2.7.0 містить виправлення для цієї проблеми. Як обхідного шляху використовуйте власну аутентифікацію через `HashCallback` і / або переконайтеся, що налаштований шлях до бази даних `SAM` є дійсним і у додатку залишилися дескриптори файлів. 

 CVE-2022-24882: FreeRDP - це безкоштовна реалізація протоколу віддаленого робочого столу (RDP). У версіях 2.7.0 аутентифікація NT LAN Manager (NTLM) не переривається належним чином, коли хто-небудь вводить порожнє значення пароля. Ця проблема зачіпає реалізації сервера RDP на основі FreeRDP. Клієнти RDP не порушені. Виправлена уразливість в FreeRDP 2.7.0. В даний час немає відомих обхідних шляхів. 

 CVE-2022-23613: xrdp - це сервер протоколу віддаленого робочого столу з відкритим вихідним кодом (RDP). В порушених версіях неповний потік цілих чисел, що приводить до переповнення купи на сервері sesman, дозволяє будь зловмисникові, який не пройшов перевірку автентичності, який може отримати локальний доступ до сервера sesman, виконувати код від імені root. Ця уразливість була виправлена у версії 0.9.18.1 і вище. Користувачам рекомендується виконати оновлення. Відомих обхідних шляхів не існує. 

 CVE-2022-23493: xrdp - це проект з відкритим вихідним кодом, який забезпечує графічний вхід на віддалені комп'ютери з використанням протоколу Microsoft Remote Desktop Protocol (RDP). xrdp 

Корисна інформація

– Підключення до віддаленого робочого столу: RDP використовує програмне забезпечення для підключення до віддаленого робочого столу, вбудована в операційні системи Windows, для встановлення віддалених зв'язків між комп'ютерами.

– Загальний доступ до екрану: RDP дозволяє користувачам ділитися екраном свого робочого столу з іншими, що робить його корисним для віддаленої співпраці та підтримки.

– Багатокористувацький доступ: RDP дозволяє декільком користувачам одночасно підключатися до одного і того ж віддаленого робочого столу і використовувати його, забезпечуючи спільну роботу і віддалену підтримку.

– Перенаправлення аудіо і відео: RDP дозволяє передавати аудіо і відео ресурси з віддаленого робочого столу на локальний комп'ютер.

– Шифрування: RDP використовує шифрування для захисту сеансу віддаленого робочого столу і захисту даних від перехоплення або підробки.

– Правила брандмауера: Щоб дозволити вхідні підключення за протоколом RDP, брандмауер Windows повинен бути налаштований так, щоб дозволяти трафік через порт 3389 (або налаштований порт RDP) як для TCP, так і для UDP трафіку.

– Ризики безпеки: RDP може бути уразливий для загроз безпеки, таких як атаки з використанням паролів методом перебору, атаки типу "людина посередині" і атаки типу "відмова в обслуговуванні". Важливо належним чином захистити RDP, використовуючи надійні паролі, обмежуючи доступ до авторизованим користувачам і IP-адресам, а також використовуючи інші заходи безпеки, такі як VPN і двофакторна аутентифікація.

– RDP через VPN: використання VPN для підключення до RDP може забезпечити додатковий рівень безпеки за рахунок шифрування всього трафіку між локальним комп'ютером і віддаленим робочим столом або сервером.

– Альтернативи RDP: Існують альтернативні протоколи віддаленого робочого столу і доступне програмне забезпечення, таке як VNC (віртуальні мережеві обчислення) і TeamViewer.

Відомі банери

"Віддаленого робочого столу" – Цей банер може з'явитися під час сканування портів або оцінки вразливості, вказуючи на те, що в цільовій системі включений RDP.

"Служби терміналів MS" – Цей банер може з'являтися в більш старих версіях RDP, вказуючи на використання служб терміналів Microsoft.

"RDP-Tcp" – Цей банер може з'являтися при перегляді відкритих мережевих портів в системі, вказуючи на використання протоколу RDP.

"Microsoft RDP 5.2" – Цей банер може з'являтися в більш старих версіях RDP, вказуючи на використання Microsoft RDP версії 5.2.

"Клієнт служб терміналів Microsoft" – Цей банер може відображатися у рядку користувальницького агента клієнта RDP, вказуючи на використання служб терміналів Microsoft.

Книги для вивчення протоколу віддаленого робочого столу (RDP)

Служби віддалених робочих столів Windows Server 2008 R2: проектування і розгортання віртуальних робочих столів" Грег Шилдс: Ця книга присвячена проектування і розгортання віртуальних робочих столів з використанням служб віддалених робочих столів Windows Server 2008 R2.

Служби віддалених робочих столів Windows Server 2016: розгортання, адміністрування, усунення неполадок" Ендрю Беттані і Аарон Паркер: Ця книга присвячена розгортання, адміністрування та усунення неполадок служб віддалених робочих столів Windows Server 2016.

"Освоєння Windows Server 2012 R2" автор Марк Минаси: Ця книга охоплює широке коло тем, пов'язаних з Windows Server 2012 R2, включаючи служби віддалених робочих столів.

Служби віддалених робочих столів: повне керівництво по розумінню і впровадження служб віддалених робочих столів Windows" автор: Ерік Сирон і Кріста Андерсон: Ця книга являє собою всеосяжне керівництво по розумінню і впровадження служб віддалених робочих столів Windows, що охоплює як проектування, так і розгортання.

"Безпека протоколу віддаленого робочого столу (RDP): практичне керівництво по захисту мережевих ресурсів RDP" автор: доктор Ерік Коул: Ця книга присвячена безпеки протоколу віддаленого робочого столу (RDP) і містить практичні рекомендації щодо захисту мережевих ресурсів RDP.

"Усунення неполадок при підключенні до служб віддалених робочих столів" автор Шеннон Фріц: Ця книга присвячена усуненню неполадок при підключенні до служб віддалених робочих столів на сервері Windows.

"Установка і настройка служб віддалених робочих столів (RDS) для середовища Windows Server 2012 R2" Брайан Свидергол і Ніл Сміт: У цій книзі представлено покрокове керівництво по установці і настройці служб віддалених робочих столів Windows Server 2012 R2.

"Pro Windows Server: Служби віддалених робочих столів" Тодд Лэмл і Девід Р. Міллер: У цій книзі розглядаються служби віддалених робочих столів Windows Server, включаючи встановлення, налаштування і адміністрування.

"Шлюз віддаленого робочого столу (RD Gateway) 2012 R2: Установка, налаштування та усунення несправностей" автор Юрій Магаліф: Ця книга присвячена встановлення, налаштування та усунення несправностей шлюзу віддалених робочих столів (RD Gateway) в Windows Server 2012 R2.

"RDP: Протокол віддаленого робочого столу – все, що вам потрібно знати" автор Gerardus Blokdyk: У цій книзі дається всебічний огляд протоколу віддаленого робочого столу (RDP) і розглядаються такі теми, як безпека, продуктивність і конфігурація.

Список корисного навантаження для протоколу віддаленого робочого столу (RDP)

  • Грубий примус облікових даних RDP: Ця корисна навантаження включає в себе спробу примусового введення облікових даних для входу в RDP, зазвичай шляхом запуску сценарію, який пробує різні комбінації імені користувача і пароля.

  • Корисні навантаження для використання RDP: Це корисні навантаження, націлені на відомі уразливості в протоколі RDP, такі як BlueKeep (CVE-2019-0708) і DejaBlue (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226).

  • Корисні навантаження RDP Man-in-the-Middle (MITM): Ці корисні навантаження включають перехоплення і зміна трафіку RDP між клієнтом і сервером для крадіжки даних або виконання інших шкідливих дій.

  • Корисні навантаження для ведення кейлоггинга RDP: Ці корисні навантаження включають в себе перехоплення натискань клавіш, виконуваних користувачем під час сеансу RDP, що потенційно дозволяє перехоплювати конфіденційну інформацію, таку як паролі.

  • Корисні навантаження віддаленого виконання коду RDP (RCE): Ці корисні навантаження включають використання вразливостей в службі RDP для виконання довільного коду в цільовій системі, надаючи зловмиснику повний контроль над машиною.

Пом'якшення наслідків

  1. Використовуйте складні паролі, які важко вгадати, і стежте за тим, щоб вони регулярно змінювалися.

  2. NLA вимагає, щоб користувачі проходили аутентифікацію перед встановленням сеансу RDP, що допомагає запобігти атаки методом перебору.

  3. Встановіть VPN-з'єднання перед підключенням до RDP, так як це додає додатковий рівень безпеки.

  4. Обмежте доступ за протоколом RDP тільки для тих користувачів, яким це необхідно, і розгляньте можливість введення білого списку IP-адрес для подальшого обмеження доступу.

  5. Переконайтеся, що служба RDP оновлена останніми виправленнями безпеки, щоб запобігти використання відомих вразливостей.

  6. Використовуйте засіб моніторингу мережі для виявлення підозрілої активності RDP та оповіщення про неї, наприклад, про невдалі спроби входу в систему або повторних зв'язки з одного і того ж IP-адреси.

  7. Вимагати від користувачів надання другого фактора аутентифікації, такого як маркер або біометричні дані, для доступу до служби RDP.

  8. Розгляньте можливість використання виділеного сервера в якості основного хоста, який діє як посередник між користувачем і сервером RDP, додаючи додатковий рівень захисту.

Висновок

Протокол віддаленого робочого столу (RDP) є популярним протоколом для віддаленого доступу та представляє значні ризики для безпеки. Щоб знизити ці ризики, впровадьте надійні паролі, NLA, VPN, обмеження доступу, регулярне виправлення, моніторинг, MFA і хости bastion. Будьте пильні і в курсі останніх тенденцій в області безпеки і вразливостей, щоб ефективно захищати системи RDP.

Інші Послуги

Готові до безпеки?

зв'язатися з нами