Is uw bedrijf beschermd tegen Remote Desktop Man In The Middle attacks?

/

Ieder bedrijf maakt tegenwoordig gebruik van Remote Desktop om het scherm van een server over te nemen. Zowel voor gebruikers als voor systeem administrators. In vele gevallen worden hier de default settings genomen zonder SSL certificaat waardoor deze servers vatbaar zijn voor Man-In-The-Middle Attacks (MITM Attacks).

 

Wat houdt een MITM Attack in?

Wanneer een gebruiker een remote desktop connectie maakt naar een server dan heeft die gebruiker een rechtstreekse verbinding met deze server.

Wanneer we in hetzelfde geval een MITM Attack doen dan zal de gebruiker niet verbinden met de server maar met de attacker. De attacker stuurt alles door naar de server en dit werkt zo in beide richtingen.

Zonder SSL certificaat wordt geen controle uitgevoerd om na te gaan of de gebruiker wel die gebruiker is. Waardoor zelfs het Administrator wachtwoord achterhaald kan worden.

 

Praktijkvoorbeeld

In onderstaande demo hebben we een domain controller en een management server om deze test uit te voeren. Een derde PC (die niet in het domein zit) zal als MITM gebruikt worden.

Om een MITM attack uit te voeren moet eerst ARP poisoning uitgevoerd worden zodat de ARP-tabellen gewijzigd worden met het MAC adres van de attacker.

In dit geval is de domain controller: 192.168.133.200

En de management server: 192.168.133.201

ARP poisoning.

ARP poisoning.

 

Wanneer een gebruiker die op de management server is aangemeld een remote desktop sessie maakt naar de domain controller dan zal deze eerst naar de attacker gaan.

Inloggen bij een remote desktop sessie via MITM attack.

Inloggen bij een remote desktop sessie via MITM attack.

 

De attacker zal zien dat er remote desktop sessies worden gemaakt zonder encryptie.

Resultaat van de MITM attack.

Resultaat van de MITM attack.

 

Wanneer we de logging bekijken kunnen we zelfs zien wat het wachtwoord van de gebruiker cyberheroes is (wachtwoord: Cyber123!). Bij het eerste kan men zien dat de shift toets wordt ingedrukt met alle karakters hierna. Dit wachtwoord is natuurlijk fictief gekozen voor deze demo en wordt niet door ons gebruikt. Het voldoet ook niet aan de regels voor een veilig wachtwoord.

Log van de MITM attack.

Log van de MITM attack.

 

Wanneer SSL voor RDP wordt gebruikt zal poisoning niet meer lukken en zal volgende boodschap te zien zijn:

MITM attack bij een remote desktop sessie met SSL certificaat. 

MITM attack bij een remote desktop sessie met SSL certificaat. 

 

MITM attacks is één van de meest voorkomende en gevaarlijkste attacks. Dit staat los van de antivirus waardoor deze niet kan gedetecteerd worden tenzij op ARP poisoning wordt gecontroleerd.

 

Bezorgd over MITM attacks binnen uw bedrijf of graag meer informatie? Contacteer ons vrijblijvend.