AI 分类器发现微软桌面协议漏洞,30 秒就能被攻击者控制

远程桌面协议漏洞会造成什么影响?简单的说就很可能被远程攻击者利用,通过桌面协议和远程管理窃取数据并运行恶意代码。

最近,加拿大金斯敦皇后大学的研究人员就使用 AI 分类器揭露了微软远程桌面协议(RDP)潜在的一种漏洞,攻击者能够在 30 秒内检测到活动、按键和鼠标移动。

AI 模型检测漏洞

研究人员称,微软加密远程桌面协议的设计公开了“细粒度”动作,可以训练机器学习模型来识别使用模式。

加密是对网络漏洞的常见应对措施。据估计,2018 年就有超过 70% 的网络通信使用了加密技术。但加密不是万能的,因为流量分析不需要依靠数据包的内容来揭示互联网的工作活动。相反,分析可以利用诸如所使用的服务,数据有效载荷中的签名,数据分析和行为分类之类的东西。

在一个案例研究中,研究人员分析了 RDP,它被设计成让客户机 PC 用户与主机交互,就像坐在主机上一样。

研究人员采购了一台 Windows 10工作站作为客户端,另一台运行两台虚拟机的 PC 作为主机。这两个虚拟机是 Windows 10 安装和 Linux 发行版 CentOS,位于物理防火墙后面的远程机器作为第二台主机。

研究人员让客户端 PC 通过 RDP 连接到本地或远程主机,并记录 30 秒窗口的活动。使用客户端 PC,他们下载文件,使用 Firefox 和 Chrome,输入记事本,播放 YouTube 视频,并通过 Windows 剪贴板将内容从主机复制到本地客户端。

他们使用了两个工具,CIC Flow Meter 和 Tshark,来提取每个网络流量交换的包长度等属性。为了对每个活动进行分类,他们建立了一个集成的机器学习模型,该模型由最有效的流量类分类器组成,选择最大的精度(检索实例中相关实例的比例),以便集成分类器能够判断何时存在流量。在训练分类器之后,研究人员将集成应用到一个包含 2160 个 30 秒样本的语料库中,之后他们对每一类的预测性能进行评估。

分类器检测准确率超过 97%

在报告中,研究人员说,对于两种类型的流量,TCP 和 UDP,该集合成功地识别了通过 RDP 发生的一种甚至是同时发生的活动。分类器准确地检测到正在进行的文件下载、互联网浏览、记事本书写、 YouTube 浏览和文本复制和粘贴,准确率超过 97% ,召回率至少达到 94% (实际检索的相关实例总数的一小部分)。

也许更大的问题是,集成检测到了客户端通过其  TCP 帧向远程系统发送的击键。研究人员注意到,窗口中帧的总数与屏幕上的视觉变化相关,并且可以显示有多少按键被发送,打开了密码攻击的大门。

研究人员承认,他们只分析了 Windows 10 系统之间的流量,不同的系统、 PC 和 RDP 更新可能会影响准确性。但他们说,集成训练可能足以适应新的网络环境。

研究人员写道: “我们已经证明,对于像 RDP 这样的加密协议,仍然有可能从无法通过加密来隐藏的流量特性中推断出五类具有高可靠性的常见活动。”。“可以想象,其中一些预测可能会被协议中的模糊处理打破,但协议设计者陷入了隐藏活动的需要和提供响应能力的需要之间。”


其实,这已经不是微软远程桌面协议曝出漏洞了,早在 2018 年,就有安全研究人员发现了几乎影响所有版本 Windows 系统的高危漏洞。当时微软发布了安全补丁,但也提到此类攻击能够通过不同协议以不同方式实施攻击。

桌面协议的漏洞存在可能运行远程攻击者窃取数据,危险性很大,30 秒就能被攻击者控制。集成训练能否适应更多网络环境还需要验证。

你可能感兴趣的:(网络安全)