RDP (Remote Desktop Protocol) cho phép người dùng kết nối với máy tính từ xa. Giao thức này thường được sử dụng bởi các kỹ thuật viên và quản trị viên CNTT để kết nối từ xa với các thiết bị khác trên mạng.
RDP ban đầu được Microsoft phát triển cho hệ điều hành Windows của mình, nhưng có một số máy khách nguồn mở cho giao thức RDP có thể được sử dụng trên Linux cũng như các hệ thống Unix.
Các nhà nghiên cứu của Check Point đã tiến hành phân tích chi tiết 03 ứng dụng khách RDP được sử dụng phổ biến nhất là FreeRDP, rdesktop và Windows RDP client (đi kèm với hệ điều hành) và tìm ra 25 lỗi bảo mật, một số lỗi trong đó thậm chí có thể cho phép máy chủ RDP độc hại điều khiển từ xa các máy tính của khách chạy phần mềm RDP.
FreeRDP, ứng dụng RDP client mã nguồn mở phổ biến và trưởng thành nhất trên Github có thể bị tấn công bằng 06 lỗ hổng, 05 trong số đó là các vấn đề lỗi bộ nhớ khá lớn, thậm chí có thể dẫn đến việc thực thi mã từ xa trên máy tính của khách hàng.
Rdesktop, một RDP client mã nguồn mở cũ hơn được cài mặc định trong các bản phân phối Kali Linux, được phát hiện là RDP client dễ bị tấn công nhất với tổng số 19 lỗ hổng, 11 trong số đó có thể cho phép máy chủ RDP độc hại thực thi mã tùy ý trên máy tính của người dùng.
Mặc dù RDP client có sẵn trong Windows không chứa bất kỳ lỗi thực thi mã từ xa nào, các nhà nghiên cứu đã phát hiện ra một số tình huống tấn công thú vị có thể xảy ra do máy khách và máy chủ chia sẻ dữ liệu clipboard, cho phép máy khách truy cập và sửa đổi dữ liệu clipboard trên máy chủ và ngược lại.
"Một máy chủ RDP độc hại có thể nghe lén trên clipboard của máy khách. Đây là một tính năng, không phải là lỗi. Ví dụ, máy khách sao chép mật khẩu quản trị viên cục bộ và bây giờ máy chủ cũng có nó", các nhà nghiên cứu chia sẻ trong khi giải thích kịch bản tấn công đầu tiên.
"Máy chủ RDP độc hại có thể sửa đổi bất kỳ nội dung clipboard nào được máy khách sử dụng, ngay cả khi máy khách không phát hành thao tác "sao chép" bên trong cửa sổ RDP. Nếu người dùng nhấp vào "dán" khi mở kết nối RDP, người dùng có thể bị tấn công bởi kịch bản thứ hai".
Trong một video khác, các nhà nghiên cứu đã trình diễn cách tấn công clipboard bằng phần mềm RDP của Microsoft thậm chí có thể cho phép máy chủ RDP độc hại lừa hệ thống máy khách lưu tệp phần mềm độc hại trong thư mục khởi động của Windows, sẽ tự động được thực thi mỗi khi hệ thống khởi động.
Các nhà nghiên cứu đã báo cáo các lỗ hổng cho các nhà phát triển của các RDP client bị ảnh hưởng vào tháng 10/2018.
FreeRDP đã vá các lỗ hổng trong phiên bản v2.0.0-RC4 và triển khai bản phát hành phần mềm cho kho lưu trữ GitHub của nó chưa đầy một tháng sau khi được thông báo.
Rdesktop đã vá lỗi trong phiên bản v1.8.4 và đưa ra bản sửa lỗi vào giữa tháng 1/2019.
Microsoft thừa nhận phát hiện của các nhà nghiên cứu nhưng chưa xử lý các vấn đề được thông báo. Tuy nhiên, người dùng máy khách Windows RDP có thể tự bảo vệ mình trước các cuộc tấn công được các nhà nghiên cứu phát hiện bằng cách vô hiệu hóa tính năng chia sẻ clipboard, được bật theo mặc định khi kết nối với máy từ xa.
Nguyễn Anh Tuấn
Theo The Hacker News
15:00 | 22/01/2019
16:00 | 18/09/2020
08:00 | 25/06/2018
09:00 | 11/09/2019
09:00 | 11/12/2018
10:00 | 13/02/2025
Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.
22:00 | 25/01/2025
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
14:00 | 07/01/2025
Những kẻ tấn công từ Triều Tiên đứng sau chiến dịch tấn công Contagious Interview đang diễn ra đã bị phát hiện đang phát tán một phần mềm độc hại JavaScript mới có tên là OtterCookie.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
14:00 | 19/03/2025
