Comment inverser une connexion de bureau à distance ?

Cette vulnérabilité est décrite dans l'article de Microsoft Une étude de cas sur la collaboration industrielle : Divulgation et réponse à la vulnérabilité RDP empoisonnée . Cette étude a été réalisée en collaboration avec Eyal Itkin, chercheur chez Check Point.

Dans cet article est décrite une attaque par un serveur infecté contre un client se connectant via RDP. L'attaque consiste pour le serveur à utiliser la fonctionnalité du du presse-papiers partagé pour copier un groupe de fichiers sur l'autre ordinateur et les coller dans l'autre ordinateur.

C'est ce qu'on appelle aussi une "attaque par le chemin", où le serveur RDP malveillant malveillant peut déposer des fichiers arbitraires dans des chemins arbitraires sur la machine cliente, prenant ainsi le contrôle total de cet ordinateur.

Le serveur peut également notifier le client d'une fausse mise à jour du presse-papiers sans une véritable opération de copie à l'intérieur de la fenêtre RDP, contrôlant ainsi complètement le presse-papiers du client sans que l'utilisateur s'en aperçoive.

L'étude d'Eyal Itkin sur les vulnérabilités de divers logiciels RDP est disponible. dans l'article Attaque RDP inversée : Exécution de code sur les clients RDP , où le nombre de vulnérabilités qu'il a trouvées est tout simplement effrayant.

Pour se protéger contre ces attaques, la seule solution est de toujours utiliser l'option client RDP le plus récent et entièrement mis à jour. Sinon, désactivez au moins la fonction de presse-papiers partagés lors de la connexion.

Ces types d'escrocs recherchent des personnes non initiées à la technologie. Un logiciel comme Teamviewer détecte les activités "probables" des escrocs et les avertit si vous êtes connecté, par exemple, à une adresse IP géocodée, par exemple en Inde, alors que vous ne vous y trouvez pas :

...
Nous avons pris les mesures nécessaires pour nous assurer que les identifiants distants ne peuvent plus être utilisés à des fins illégales et nous travaillons constamment sur de nouvelles méthodes pour trouver et bloquer ces utilisateurs. TeamViewer affichera un message d'avertissement si une connexion entrante avec un arrière-plan potentiellement frauduleux est détectée afin d'avertir nos utilisateurs du risque d'une arnaque potentielle.
... ( https://community.teamviewer.com/t5/Previous-versions-EN/Scammers/td-p/682 )

Pour éviter ce genre de détections et d'avertissements, l'escroc laisse parfois le client client initier la connexion de manière bidirectionnelle puis prendre le contrôle - si vous êtes rapide, vous pouvez mettre un mouchard sur le PC du fraudeur avec quelque chose qui vous permet d'accéder avant que cela ne se produise.

Parfois les appâteurs partent par exemple un "creditinfo.xls" dans un dossier "FinanceData" sur leur bureau dans l'espoir que les escrocs le téléchargent et l'ouvrent. Il contient un macrovirus qui met sur écoute le PC de l'escroc et permet un accès à distance (pas par le même outil, mais en fournissant sa propre porte dérobée).

Les deux choses sont probablement à la limite de l'illégalité.

Il existe également d'autres moyens - Jim Browning, par exemple, montre parfois qu'il utilise WireShark pour retracer les connexions réseau et le trafic jusqu'aux attaquants. Si/ce qu'il utilise exactement pour mettre sur écoute le réseau dans lequel il s'introduit n'est probablement pas montré par une raison - je pense qu'il est cool néanmoins. L'outil qu'il utilise ne fait pas appel à Teamviewer, mais à d'autres moyens de remonter jusqu'aux réseaux des escrocs.