Toon posts:

RDP risico's

Pagina: 1
Acties:

donderdag 31 oktober 2024 09:50

Acties:
  • 0 Henk 'm!
  • Eagle Creek
  • Registratie: Oktober 2002
  • Laatst online: 09:42

Eagle Creek

Breathing security

Topicstarter
nieuws: Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand
@EvelineM

Good morning,

Ik vind de duiding als het aankomt op risico's niet altijd helemaal kloppend, kijkende naar wat de bron erover meldt. Zo ook in het volgende artikel, specifiek
, wordt er een verbinding opgezet met die server, waarna de criminelen via rdp de computer kunnen overnemen.
Dat is niet een direct gevolg van de verbinding. Het zou een voortvloeing kunnen zijn van de mogelijkheden die zijn opengezet door het leggen van de verbinding, waarbij het het resultaat zou kunnen zijn van een specifieke aanval.

Het slachtoffer legt via RDP een verbinding met de server van de aanvaller. Doordat het systeem van het slachtoffer bepaalde zaken openlegt (zoals schijftoegang en printers), is het vanaf het systeem van de aanvaller mogelijk daar bepaalde manipulaties op uit te voeren. Maar daarmee kun je (m.i.) niet spreken over het "overnemen van de computer".

Daarna kan deze toegang gebruikt worden om andere zaken te doen, zoals het plaatsen van malware maar ook het effect en effectiviteit daarvan is afhankelijk van de exacte aanval en de rechten van de betreffende gebruiker.
Once the target system was compromised, it connected to the actor-controlled server and bidirectionally mapped the targeted user’s local device’s resources to the server. Resources sent to the server may include, but are not limited to, all logical hard disks, clipboard contents, printers, connected peripheral devices, audio, and authentication features and facilities of the Windows operating system, including smart cards.
This access could enable the threat actor to install malware on the target’s local drive(s) and mapped network share(s), particularly in AutoStart folders, or install additional tools such as remote access trojans (RATs) to maintain access when the RDP session is closed. The process of establishing an RDP connection to the actor-controlled system may also expose the credentials of the user signed in to the target system.

[ Voor 18% gewijzigd door Eagle Creek op 31-10-2024 10:11 ]

~ Information security professional & enthousiast ~ EC Twitter ~

donderdag 31 oktober 2024 10:18

Acties:
  • +1 Henk 'm!
  • EvelineM
  • Registratie: Februari 2024
  • Laatst online: 16-07 11:26

EvelineM

Nieuwsredacteur
Je hebt op zich gelijk. Overnemen is in dit geval wat te kort door de bocht. Ik pas het wat aan.

vrijdag 1 november 2024 16:45

Acties:
  • +1 Henk 'm!
  • Vogel666
  • Registratie: November 2020
  • Laatst online: 22-08 13:58

Vogel666

Het vergt 4x lezen plus 3 pagina's aan comments doorlezen om te begrijpen wat de issue is.
Dan klopt er iets niet aan het artikel.

waar het om draait:
Aanvallers sturen rdp-files via email en hopen dat slachtoffers inloggen op de RDP omgeving van de hacker. Vervolgens probeert de aanvaller via de gemapte lokale schijf in de RDP sessie de data van de lokale schijf te stelen/te encrypten.

Remediation mogelijkheden:
- GPO om de lokale resources niet mee te kunnen nemen je RDP sessie in
- RDP naar resources buiten het eigen bedrijf blokkeren
- RDP client onklaar maken (lijkt me een slecht idee)

7 regels die veel duidelijker zijn dan 1,5 pagina aan tekst
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq