Ataque contra el bug del protocolo RDP

Leyendo un blog de nuestros amigos de Ontinet de España,  el cual nos indicaba el BUG del protocolo RDP, los mismos nos mencionaban una herramienta de como poder ejecutar este ataque; decidí realizar este post mostrando paso a paso como un atacante podría aprovecharse de este agujero de seguridad utilizando una herramienta.

Para comenzar el protocolo RDP (Protocolo de Escritorio Remoto en español) por defecto viene desactivado en los sistemas Windows, muchos de los equipos en entornos corporativos lo activan ya que facilita el uso de acceder remotamente a un equipo.

Para realizar la prueba procedemos a activar esta opción, cabe resaltar que estamos trabajando con un sistema operativo Windows XP.

Seguidamente ubicamos la herramienta RDPKill la cual está diseñada para detener el servicio RDP, afecta a ciertos sistemas operativos que no tiene el parche de seguridad aplicado.

La función de esta herramienta es enviar una gran cantidad de invitaciones para el acceso remoto, algo parecido a lo que provocaría un ataque de denegación de servicio (DoS).

Como se puede ver en la imagen se tiene que colocar el IP de la máquina que va a ser atacada, por defecto ya viene el puerto 3389 que es puerto utilizado por protocolo RDP.

Antes de ejecutar el ataque (ojo se está realizando el ataque al mismo equipo / una maquina virtualizada), podemos ver que el rendimiento del equipo es el normal y que la solución de seguridad (ESET Endpoint Security) que tenemos instalada se encuentra deshabilitada.

Ahora si procedemos a ejecutar el ataque, primero colocamos del IP del equipo a atacar (donde se enviara gran cantidad de solicitudes de acceso), 

Como se observa el rendimiento del CPU ya no es el mismo

Luego de tantas veces que se envía el paquete (peticiones para intentar conectarse), el sistema termina mostrando la conocida pantalla azul, que en este caso es causado por el fallo del servicio RDP.

Con esto se concluye el ataque, con una simple herramienta, algo parecido a lo que se ha estado viendo últimamente, como los ataques de denegación de servicio DoS.

Siempre se recomienda aplicar los parches de seguridad, para esta vulnerabilidad de deberá aplicar el parche MS12-020 (también conocida como CVE-2012-0002).

Bueno espero les haya parecido interesante y si ustedes desean realizar sus pruebas pueden descargar esta herramienta que por cierto es detectado por muchas soluciones de seguridad como un Troyano.

Antes de irme como siempre les recomiendo seguir todos los consejos de seguridad y utilizar un software antivirus con capacidad de detección proactiva como ESET NOD32 Antivirus, cuídense.