Expertos en ciberseguridad han descubierto una nueva vulnerabilidad que explota el Protocolo de Escritorio Remoto (RDP), ampliamente utilizado.
Esta vulnerabilidad permite a los atacantes obtener control no autorizado sobre sistemas Windows y secuestrar la actividad del navegador, representando una amenaza significativa para la seguridad de datos tanto individuales como empresariales.
Detalles del Exploit
El exploit surge del manejo y almacenamiento inadecuados de los archivos de caché de mapas de bits RDP, diseñados para mejorar el rendimiento durante las sesiones de escritorio remoto.
Estos archivos almacenan fragmentos de la actividad en pantalla, como elementos gráficos y datos de pantalla, en la máquina local del cliente.
Si bien están destinados a la optimización del rendimiento, los actores maliciosos han aprovechado esta característica para obtener información sin precedentes sobre las sesiones activas de Windows y las actividades de navegación web.
Al analizar los archivos de caché de mapas de bits almacenados en la máquina iniciadora, los atacantes pueden reconstruir porciones de la pantalla de la sesión remota.
El almacenamiento en caché persistente de mapas de bits está habilitado de forma predeterminada en mstsc.exe.
Esto incluye aplicaciones abiertas, comandos ejecutados, sesiones de navegación privada y actividades confidenciales del usuario, como el acceso a páginas de inicio de sesión o la descarga de archivos.
Con herramientas adicionales, como BMC-Tools (desarrollada por la agencia de ciberseguridad francesa ANSSI) y RdpCacheStitcher, los atacantes pueden juntar los fragmentos gráficos para obtener inteligencia procesable.
Investigadores que exploraron este exploit lo compararon con «mirar por encima del hombro» del usuario objetivo.
En un ejemplo del mundo real, los atacantes reconstruyeron con éxito los fotogramas de la sesión RDP para ver:
- Comandos de terminal ejecutados por el usuario, como
certutil.exe, utilizado para descargar scripts maliciosos. - Sesiones de navegación privada, incluidas páginas de inicio de sesión y credenciales confidenciales.
- Actividades del sistema de archivos, como copiar archivos como «svchost.exe» a directorios locales.
Este nivel de información no solo compromete la privacidad del usuario, sino que también proporciona a los atacantes información detallada para escalar sus privilegios y profundizar su presencia dentro de las redes comprometidas.
Cómo funciona el Exploit
El exploit se basa en la funcionalidad de los archivos de caché de mapas de bits RDP, que persisten en múltiples sesiones.
Estos archivos se almacenan localmente en la máquina cliente y contienen elementos gráficos en caché transferidos durante la renderización de la pantalla.
Por ejemplo, los archivos de caché como Cache0000.bin en los sistemas Windows almacenan fragmentos de mapas de bits de 64×64 píxeles en un formato fijo.
Al extraer y recopilar estos fragmentos, los atacantes pueden inferir las actividades del usuario, como las aplicaciones abiertas, los comandos ejecutados en las ventanas de la terminal y los sitios web a los que se accede a través de los navegadores.
Las herramientas de explotación funcionan de la siguiente manera:
- Extracción de mapas de bits: Herramientas como BMC-Tools extraen fragmentos gráficos persistentes de los archivos de caché.
- Reconstrucción de la sesión: Software como RdpCacheStitcher vuelve a ensamblar los fragmentos en reconstrucciones parciales o completas de la pantalla del usuario durante la sesión remota.
Posibles objetivos e impacto
El exploit es particularmente peligroso para las organizaciones.
Los administradores que usan RDP para administrar múltiples máquinas crean una extensa red de conexiones confidenciales, todas las cuales pueden ser vulnerables si un atacante obtiene acceso a la máquina iniciadora.
En un incidente, los atacantes utilizaron este exploit para atacar a proveedores de servicios que administraban remotamente los sistemas de los clientes, propagando malware y extrayendo credenciales confidenciales.
Si bien los usuarios comunes también están en riesgo, el mayor impacto se observa en entornos empresariales donde RDP es esencial para las operaciones de TI.
Los actores maliciosos pueden usar los datos reconstruidos para llevar a cabo ataques de phishing, propagar ransomware o simplemente monitorear actividades confidenciales sin que sean rastreables.
Mitigación
Para mitigar los riesgos que plantea este exploit, los expertos en ciberseguridad recomiendan las siguientes medidas:
- Deshabilitar el almacenamiento en caché persistente de mapas de bits: Los clientes RDP (como
mstsc.exe) permiten a los usuarios deshabilitar el almacenamiento en caché de mapas de bits, minimizando la exposición de los datos de la sesión. - Fortalecer la seguridad de la red: Emplear redes privadas virtuales (VPN) y firewalls robustos para proteger las conexiones RDP de amenazas externas.
- Monitorear las sesiones RDP: Registrar y monitorear las sesiones RDP en busca de actividad sospechosa, incluidas conexiones salientes inesperadas o movimientos de archivos.
- Restringir privilegios: Implementar el principio de mínimo privilegio para limitar el uso innecesario de RDP.
- Aplicar actualizaciones: Actualizar regularmente los sistemas Windows y los parches de seguridad para evitar la explotación de vulnerabilidades conocidas.
El descubrimiento de este exploit subraya la naturaleza de doble filo de las tecnologías centradas en la conveniencia como RDP.
Si bien son esenciales para el acceso remoto y la gestión de redes, su uso indebido puede crear vulnerabilidades de seguridad significativas.
Este incidente también destaca la importancia de las herramientas forenses para identificar y mitigar las amenazas emergentes.
A medida que las organizaciones giran cada vez más hacia modelos de trabajo remotos e híbridos, asegurar las conexiones RDP debe seguir siendo una máxima prioridad.
Los expertos advierten que no abordar estas vulnerabilidades con prontitud podría exacerbar el daño de futuros ataques.