Quels sont les risques de l'accès à distance (RDP) à un système compromis?

ne histoire vraie

Quand j'étais à l'école, les systèmes informatiques de notre département étaient piratés. Il s'est avéré qu'il a été piraté parce qu'un attaquant malveillant a saisi le nom d'utilisateur/mot de passe de l'un de nos utilisateurs, s'est connecté, puis a géré l'escalade de privilèges à partir de là. Étant jeune et naïf, j'ai fait un commentaire à mon conseiller du type "Qui peut être assez stupide pour partager son nom d'utilisateur et son mot de passe ???". Mon conseiller a rapidement répondu: "En fait, c'était moi." (ce qui m'a évidemment laissé comme un idiot et m'a appris une leçon précieuse sur le fait de ne pas tirer de conclusions hâtives ou de courir ma bouche). Il a ensuite expliqué:

Il avait visité une autre institution et était connecté à leurs systèmes. Il ne se rendait pas compte que leur serveur était compromis (ils ne le savaient pas encore non plus). Il a ensuite été transféré sur son propre compte dans notre système, et ce faisant, le système compromis n'a eu aucun problème à lire son nom d'utilisateur et son mot de passe et à le renvoyer à l'attaquant (le client ssh sur leur machine avait été remplacé par un programme malveillant). une). Ils ont ensuite pu l'utiliser pour entrer dans notre système et se rendre en ville sur nos serveurs. Tout ça pour dire:

Le plus grand risque de se connecter à une machine compromise est que vous devez supposer qu'absolument tout ce que vous faites sera enregistré et envoyé aux attaquants. Ne vous connectez à aucun autre système à partir de la machine compromise. Ne vous connectez pas à votre messagerie à partir de la machine compromise. Ne vous connectez à aucun site Web à partir de la machine compromise, à moins que ce soit le genre de chose que vous ne voudriez pas publier publiquement sur Internet avec toutes vos informations d'accès. Certes, cela va probablement sans dire, mais j'ai constaté que parfois laisser des choses évidentes non dites revient à vous mordre plus tard.

Votre question réelle

Bien sûr, ce n'est pas exactement ce que vous demandiez. En supposant que vous ne faites rien d'important sur la machine compromise, il y a certainement un certain risque à vous y connecter. Je m'attendrais à ce que le risque soit faible car il (semble) peu probable que la machine compromise puisse infecter directement votre machine. Il est certainement impossible d'exclure une vulnérabilité zero-day qui pourrait permettre à la machine distante de reprendre le client, mais il est probablement beaucoup plus facile de se propager sur les connexions réseau puis de pirater en arrière via le protocole RDP, donc je doute qu'il y en ait vraiment beaucoup virus/rootkits/etc. qui font réellement cela. Il y a d'autres ressources partagées entre le client et le serveur que vous devrez surveiller. Pourtant, étant donné la facilité de configuration d'une machine virtuelle, je considérerais comme une précaution raisonnable de se connecter via une machine:

1. Faire tourner une machine virtuelle
2. Utilisez la machine virtuelle pour vous connecter au serveur RDP compromis
3. Mettez la machine virtuelle à la poubelle par la suite.

Votre kilométrage variera. Nous avons tous différents niveaux de risques que nous sommes prêts à accepter, et différents niveaux de "désagréments" que nous sommes prêts à subir pour éviter ces risques. Je ne suis pas au courant de la scène RDP (je suis un gars Linux), mais dans une recherche rapide, j'ai trouvé de nombreuses vulnérabilités de sécurité RDP, mais aucune ne semblait permettre au système distant de prendre le contrôle du client. Une couche de sécurité supplémentaire peut ne pas nuire, mais n'oubliez pas de ne jamais faire confiance à rien de la machine compromise ou de faire quoi que ce soit de la valeur pendant que vous y êtes.