Мы уже рассказывали, что атаки на RDP — это не редкость. Один из популярных сценариев это подмена сервера и перехват учетных данных с использованием атаки типа «человек посередине» (MiTM, Man-in-the-Middle).
Пользователь подключается к «легитимному» рабочему столу, а его логин и пароль попадают в руки злоумышленника.
Такие атаки возможны по разным причинам:
Например, CVE-2005-1794 — уязвимость RDP-сервера Microsoft, которая позволяет злоумышленникам подделывать открытые ключи легитимных серверов и провести MiTM-атаку.
Как можно закрыть это на уровне архитектуры?
В Kaspersky Thin Client соединение по RDP невозможно без TLS, зашифрованного протокола для защиты данных, передаваемых между клиентом и сервером. Перед установкой сессии клиент проверяет подлинность сервера, и если сертификат не проходит проверку, соединение не устанавливается.
Эту проверку нельзя отключить. За нее отвечает отдельный компонент с минимальной поверхностью атаки, TLS-терминатор, который принимает запрос на подключение и сам устанавливает TLS-соединения с удаленным сервером. Его нельзя обойти или изменить. Такое правило установлено на уровне архитектуры системы.
Таким образом перехватить учетные данные через подмену сервера не получится — соединение просто не установится.
Мы уже рассказывали, что атаки на RDP — это не редкость. Один из популярных сценариев это подмена сервера и перехват учетных данных с использованием атаки типа «человек посередине» (MiTM, Man-in-the-Middle).
Пользователь подключается к «легитимному» рабочему столу, а его логин и пароль попадают в руки злоумышленника.
Такие атаки возможны по разным причинам:
Например, CVE-2005-1794 — уязвимость RDP-сервера Microsoft, которая позволяет злоумышленникам подделывать открытые ключи легитимных серверов и провести MiTM-атаку.
Как можно закрыть это на уровне архитектуры?
В Kaspersky Thin Client соединение по RDP невозможно без TLS, зашифрованного протокола для защиты данных, передаваемых между клиентом и сервером. Перед установкой сессии клиент проверяет подлинность сервера, и если сертификат не проходит проверку, соединение не устанавливается.
Эту проверку нельзя отключить. За нее отвечает отдельный компонент с минимальной поверхностью атаки, TLS-терминатор, который принимает запрос на подключение и сам устанавливает TLS-соединения с удаленным сервером. Его нельзя обойти или изменить. Такое правило установлено на уровне архитектуры системы.
Таким образом перехватить учетные данные через подмену сервера не получится — соединение просто не установится.
Подпишитесь на наши сообщества и получите ссылку на дистрибутив в чате
