侵害された可能性のあるマシンへのリモートデスクトップ接続
Linuxでrdesktopクライアントを使用してWindowsマシンに接続しています。これらのマシンの一部が何らかの悪意のあるマルウェア/ウイルス/ワーム/トロイの木馬に感染した場合、マルウェアがrdesktop接続を介してコンピュータに「ジャンプ」する方法はありますか?
これは不可能だといつも思っていましたが、最近 read に似たテクノロジーがあります x2go は本質的に安全ではありません。
編集
私の質問を明確にするために、私はrdpプロトコル(またはセッション)がクライアントにとって潜在的に危険であるかどうかに主に関心があります。
rdpプロトコルの内部がわかりません。しかし、私には、rdesktopクライアントが画像/ビットマップをレンダリングするだけの場合、侵害された可能性のあるサーバーが実行できることはあまりありません。一方、rdesktopクライアントがサーバーから送信されたいくつかのコマンドを解釈している場合、そのコマンドが悪用される可能性があります。
類推:最近のブラウザーは、静的なHTML Webページを表示するだけではありません。代わりに、Javascript、Flashなどを解釈します。rdesktopクライアントは、サーバーからの潜在的に危険なコマンドを解釈するという点で似ていますか?
クライアントがイメージをレンダリングすることだけを考えている場合、レンダリングライブラリのいくつかのバグは別として、それを利用することはできません。これはjpg画像を表示する画像ビューアに相当します。
編集2
セッションをより安全にするために使用できるlinux rdesktopクライアントの構成オプションはありますか?たとえば、「ディスクリダイレクト」やサウンドは必要ありません。実際には、画面とクリップボードの画像のみが必要です(ctrl+c、 ctrl+v)。
私がman rdesktopで読み取れたものから、ディスクのリダイレクトとサウンドはデフォルトではオンになっていません。デフォルトで有効になっていて、潜在的なセキュリティ問題を引き起こす可能性のあるいくつかの機能はありますか?
理論的には、リモートマシンに接続していて、マシンにデータを送り返しています。通常のコンテキストでは、これは単なる表示のロケーションタイプデータですが、リモート接続を確立するために使用されるrdesktopまたは他のツールでエクスプロイトを引き起こすような方法でビットのシーケンスが処理される可能性があります。
あらゆる接続とあらゆるタイプのプログラムで、これは可能です、ブラウザ、FTPクライアントなど。
リモートマシンへの接続が心配な場合は、リスクを軽減または軽減するために次のことを行ってください。
- サンドボックス、仮想マシン、ライブCDなどにrdesktopまたはツールをロードします。これにより、エクスプロイトがあったとしても、コアマシンが危険にさらされることはありません。
- Rdesktopまたはクライアント側のツールの最新バージョンを実行していることを確認してください。
マルウェアがマシンからマシンへジャンプするという点では、rdesktopの脆弱性を認識して利用し、そのメカニズムを使用して自身をコピーする必要があります。 rdesktopアプリケーションにエクスプロイトがない場合、ビジュアルイメージを転送するだけで「ジャンプ」できる可能性はほとんどありません。特別なバージョンがある場合や、ある種のファイル共有やファイル転送、共有クリップボードなどを有効にしている場合、マルウェアがこれらのチャネルのいずれかを利用する可能性があります。
クイックWeb検索で CVE-2008-1801、CVE-2008-1802、CVE-2008-18 が見つかります。これは、脆弱なリモートデスクトップサーバー(接続するリモートマシン)への接続における脆弱性を示していますも)。
あなたの編集に応じて:
データのペイロードが何であるか、ファイル転送、画像、チャットメッセージ、そのすべてのデータは関係ありません。制御データ、マウスの位置、更新情報などもあります。通信を開いたままにして更新を送信するためだけに多くのデータが必要です。侵害されたサーバーは、クライアントによって処理されるときにバッファオーバーフローなどを引き起こすデータを送信することによって、プロトコルを乱用する可能性があります。 。これらのビットがどのように解釈されるかが問題です。 Photoshopやビデオ編集プログラムでも、データを開いて処理するときに脆弱性が存在する可能性があります。
CVE-2012-417 は、画像の処理から生じるエクスプロイトの例です。
RDPプロトコルの理解を深めるには:
つまり、大量のデータが送受信されたり、さまざまな複雑な処理が行われたり、攻撃者がエクスプロイトを狙ったり、侵害されたサーバーや悪意のあるサーバーが特別に細工されたパケットを送信したりできる場所がたくさんあります。一度発見されたこれらのバグによって処理されます。
覚えておくべきことの1つは、さまざまな共有リソースがデフォルトで有効にできることです-確かにWindows RDPクライアントで(Linuxクライアントを知らないのではないかと思いますが、 プロトコルは、これらの共有リソースを許可します。)たとえば、クリップボードはデフォルトでクライアントとサーバー間で自動的に共有され、ローカルプリンターが利用可能になります。ハードドライブをリモートセッションと共有するのは簡単です。(Windowsクライアントでは)以前に使用した場合、このオプションは新しいサーバーに接続するときに選択されたままになります。おそらく、リモートボックス上のマルウェアは、マウントされた別のドライブと同じように、それを快く感染する可能性があります。
つまり、ディスプレイリレーテクノロジが安全であっても、他の共有リソースがリスクをもたらす可能性があります。
Rdesktopクライアントは、 -r スイッチ。
接続するPCのローカルディレクトリは、\ tsclient\<sharename>の下の特別な共有の下にあるリモートサーバーと共有できます。
-r disk:<sharename> = <path>、...
サーバー上の共有\ tsclient \へのパスをリダイレクトします(Windowsが必要ですXP以降)。共有名は8文字に制限されています。
そのため、リモートサーバーがマルウェアに感染した場合、この特別な共有を通じて接続しているPC上のファイルに感染する可能性があります。たとえば、CryptoWallは ネットワーク共有上のファイルの暗号化 で知られているランサムウェアです。