web-dev-qa-db-ja.com

侵害されたシステムに(RDP)でリモート処理するリスクは何ですか?

クライアントに何らかの危害を加えることはできますか?

23
PBeezy

標準のRDPクライアントには、有効になっている場合にクライアントへの攻撃に悪用される可能性のある設定がいくつかあります。例:共有フォルダ、プリンタなどのデバイスへのアクセスなど。

侵害された既知のマシンにリモート処理している場合は、接続する前に、クライアントの接続と共有オプションで可能な限り無効にすることをお勧めします。

また、意図的に共有したことに加えて、RDPクライアント自体に脆弱性が存在する可能性もあります。パッチが適用されて最新であることを確認し、侵害の兆候をスキャンする機会があるまで、クライアントマシンを感染の危険性があるものとして扱います。

26
nbering

実話

私が大学院にいたとき、私たちの部門のコンピュータシステムはハッキングされていました。悪意のある攻撃者がユーザーの1人のユーザー名/パスワードを入手して接続し、そこから権限昇格を管理したため、ハッキングされたことが判明しました。私は若くて世間知らずなので、「ユーザー名とパスワードを共有するのに十分なほど愚かである可能性があるのは誰か?私の顧問はすぐに答えました:「実際、それは私です。」 (それは明らかに私を馬鹿のように感じさせ、結論に飛びついたり口を走らせたりしないことについての貴重な教訓を私に教えました)。それから彼は説明した:

彼は別の機関を訪問し、彼らのシステムに接続していた。彼は彼らのサーバーが危険にさらされていることに気付きませんでした(彼らもまだそれを知りませんでした)。その後、彼は私たちのシステムで自分のアカウントにsshでログインしました。その際、侵害されたシステムはユーザー名とパスワードを読み取って攻撃者に送り返すことにまったく問題がありませんでした(マシンのsshクライアントは悪意のあるクライアントに置き換えられていました) 1)。彼らはそれを使って私たちのシステムに入り、私たちのサーバーで町に行くことができました。言うべきことすべて:

侵害されたマシンに接続するbiggestリスクは、実行するすべてのことは絶対に記録されて攻撃者に送信されると想定する必要があることです。侵入先のマシンから他のシステムに接続しないでください。侵入先のマシンからメールに接続しないでください。侵入先のマシンからWebサイトに接続しないでください。ただし、すべてのアクセス認証情報とともにインターネットに公開してもかまいません。確かに、これはおそらく言うまでもありませんが、明白なことを言わないままにしておくと、後であなたに噛み付くようになることが時々あります。

実際の質問

もちろん、これはあなたが求めていたものとは正確には異なります。侵害されたマシンで重要なことを何も実行しないと仮定すると、それに接続することに伴うリスクは確かにまだあります。侵害されたマシンがマシンに直接感染する可能性は低いと思われるため、リスクは低いと思われます。リモートマシンがクライアントを乗っ取る可能性のあるゼロデイ脆弱性を除外することは確かに不可能ですが、ネットワーク接続を介して拡散し、RDPプロトコルを介して後方にハッキングする方がおそらくはるかに簡単であるため、本当に多くあるとは思いませんウイルス/ルートキットなどそれは実際にそれを行います。クライアントとサーバー間で共有されている他のリソースには注意が必要です。それでも、仮想マシンのセットアップがいかに簡単であるかを考えると、仮想マシンを介して接続することは妥当な予防策であると考えます。

  1. 仮想マシンを起動する
  2. 仮想マシンを使用して、侵害されたRDPサーバーに接続します
  3. その後、仮想マシンをゴミ箱に移動します。

あなたの走行距離は異なります。私たち全員が受け入れようとしているさまざまなレベルのリスクと、それらのリスクを回避するために受けようとするさまざまなレベルの「不便さ」があります。私はRDPシーンに追いついていません(私はLinuxの人です)でも、クイック検索でRDPのセキュリティの脆弱性をたくさん見つけましたが、リモートシステムがクライアントを制御できるようには見えませんでした。追加のセキュリティ層は害を及ぼさないかもしれませんが、侵害されたマシンからの何かを信頼したり、そこにいる間は何の価値のあることも実行しないことを忘れないでください。

40
Conor Mancone