Descripción: La versión remota del Servidor de Protocolo de Escritorio remoto (Terminal Service) es vulnerable a un ataque de hombre en el medio (MiTM). El cliente RDP no valida la identidad del servidor al configurar el cifrado. Un atacante con la capacidad de interceptar tráfico desde el servidor RDP puede establecer cifrado con el cliente y el servidor sin ser detectado. Un ataque MiTM de esta naturaleza permitiría al atacante obtener cualquier información confidencial transmitida, incluyendo credenciales de autenticación.

CVE: CVE-2005-1794
Factor de Riesgo: Medio
Valor CVSS Base: 5,1

Solución:

SISTEMA OPERATIVO WINDOWS

Ir a la configuración de RDP del Host, siguiendo la ruta que se muestra a continuación.

En la sección Connections, seleccionar la conexión correspondiente, dar clic derecho y propiedades.

  • En la capa de seguridad seleccionar SSL(TLS 1.0)
  • El nivel de cifrado debe quedar establecido como FIPS Compliant
  • La opción de permitir solo conexiones de computadores con RDP con NLA debe estar habilitada
  • Se debe seleccionara un certificado digital

 

Servidores 2012 R2:
1) ejecutar “gpedit.msc”

2) ingresar a la siguiente ruta :

Computer Configuration\Administative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session\Security

3) En la pestaña de Security están las opciones (Require user authentication for remote connections by using Network level authentication , Requiere secure RPC communication, Set client connection encryption level)

Require user authentication for remote connections by usig Network Level Authentication: se habilita, se guarda la configuración y se aplica

Requiere secure RPC communication: Se debe habilitar y usar  TLS.10

 

Set client connection encryption level: Se habilita y se configura como High level, se guarda y se aplica

4) Por ultimo se debe habilitar el componente de FIP-140  que gestiona los procesos de cifrado, para esta configuración se debe ir a la siguiente ruta:

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security

aplicar el cambio, de ser necesario proceder con el reinicio del servidor.

Desactivar la autenticación de nivel de red (NLA)

Es posible deshabilitar la autenticación de nivel de red en varias versiones, para remediar esta vulnerabilidad de Windows Server con o sin rol de host de sesión de RDP.

En el servidor de sesion de escritorio remoto, abra el server manager o administracion de servidor; según idioma de instalacion.

Click en, Remot Desktop Services o en Servicios de Escritorio Remoto, despues abra RDSCollection, de click en la colección de sesiones que desea modificar. Click en tareas y seleccione editar propiedades.

En la opcion o pestaña Seguridad, desactive la opción Permitir conexiones solo desde computadoras que ejecutan Escritorio remoto con autenticación de nivel de red. (Para obtener la máxima compatibilidad, asegúrese de que la Capa de seguridad esté configurada en Negociar).

Si la casilla de verificación Permitir conexiones solo desde equipos que ejecutan Escritorio remoto con autenticación de nivel de red está seleccionada y no está habilitada, la opción Requerir autenticación de usuario para conexiones remotas mediante la configuración de la Política de grupo de autenticación de nivel de red se ha habilitado y se ha aplicado al Host de sesión de Escritorio remoto servidor.

Click en OK

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like