Tin tức bảo mật về lỗ hổng CVE không chỉ xoay quanh mã khai thác hay bản vá, mà còn bao gồm các cơ chế mặc định có thể bị lạm dụng để thu thập dữ liệu. Với Remote Desktop Protocol (RDP), Windows âm thầm lưu lại các mảnh ảnh của phiên làm việc trong RDP Bitmap Cache, tạo ra một nguồn dữ liệu có thể bị trích xuất và ghép lại thành ảnh đọc được.
RDP Bitmap Cache và rủi ro bảo mật
RDP Bitmap Cache là tính năng tích hợp nhằm tăng tốc hiển thị khi kết nối từ xa. Thay vì tải lại toàn bộ giao diện, hệ điều hành lưu các tile hình ảnh nhỏ của phiên RDP xuống ổ đĩa cục bộ.
Các tile này có thể chứa nội dung hiển thị trên màn hình trong phiên làm việc, bao gồm công cụ nội bộ, tài liệu nhạy cảm, hộp thư email và cả thông tin nhập vào các trường hiển thị. Điểm đáng chú ý là cache này vẫn tồn tại sau khi phiên kết thúc và nằm trong thư mục người dùng tiêu chuẩn, nên không cần quyền quản trị để truy cập.
Trong bối cảnh mối đe dọa tập trung vào hạ tầng truy cập từ xa, RDP thường là bề mặt tấn công lớn trong môi trường doanh nghiệp. Khi cơ chế mặc định này bị khai thác, nó trở thành nguồn rò rỉ dữ liệu nhạy cảm và hỗ trợ trinh sát âm thầm.
Cách dữ liệu cache RDP bị khai thác
Quy trình khai thác không đòi hỏi đặc quyền đặc biệt và chỉ cần các công cụ miễn phí. Kẻ tấn công thường xác định thư mục cache nằm trong đường dẫn Local Application Data, sau đó nén toàn bộ thư mục này thành file ZIP bằng PowerShell.
Compress-Archive -Path "$env:LOCALAPPDATA\Microsoft\Terminal Server Client\Cache\*" -DestinationPath "$env:TEMP\rdp-cache.zip"Sau khi nén, file ZIP có thể bị exfiltrate qua HTTPS để hòa vào lưu lượng outbound thông thường. Tiếp đó, file nén thường bị xóa nhằm che giấu dấu vết hoạt động.
Cách xử lý này không cần khai thác zero-day vulnerability, nhưng vẫn tạo ra nguy cơ bảo mật đáng kể vì cơ chế lưu cache là mặc định và ít được giám sát. Đây là dạng cảnh báo CVE theo nghĩa vận hành, dù không gắn với một CVE cụ thể.
Giải mã và ghép ảnh từ cache
Sau khi thu thập được các file cache, hai công cụ mã nguồn mở thường được dùng để phục hồi nội dung phiên RDP. Công cụ đầu tiên là bmc-tools, dùng để phân tích file cache thô và tách chúng thành hàng nghìn tile ảnh nhỏ.
python bmc-tools.py -s Cache -d output/Công cụ thứ hai là RdpCacheStitcher, dùng để sắp xếp lại các tile thành ảnh hoàn chỉnh của màn hình phiên làm việc. Ngay cả khi không khôi phục được toàn bộ khung hình, các chi tiết còn lại vẫn có thể tiết lộ cấu trúc môi trường, ứng dụng đang mở hoặc luồng thao tác người dùng.
Tham khảo thêm ghi nhận kỹ thuật về cơ chế này tại SCYTHE Labs.
IOC cần theo dõi trong điều tra
Khi kiểm tra phát hiện xâm nhập liên quan đến RDP, thư mục bitmap cache là một IOC quan trọng. Dấu hiệu bất thường thường gặp là cache bị xóa hoàn toàn trên một máy trạm vốn có lịch sử sử dụng RDP thường xuyên.
- IOC: Thư mục RDP Bitmap Cache trống bất thường.
- IOC: File ZIP chứa cache RDP xuất hiện trong thư mục tạm.
- IOC: Hoạt động nén và xóa file cache diễn ra trong thời gian ngắn.
- IOC: Lưu lượng HTTPS bất thường đi kèm trích xuất file cache.
Trong ngữ cảnh threat intelligence, một thư mục cache trống trên hệ thống có lịch sử RDP là tín hiệu đáng nghi và nên được xem như chỉ báo để khởi động điều tra.
Biện pháp giảm thiểu và giám sát
Để giảm rủi ro an toàn thông tin, đội ngũ vận hành nên tăng cường khả năng quan sát và điều chỉnh cấu hình mặc định của hệ thống. Trọng tâm là giám sát hoạt động với thư mục cache, theo dõi tiến trình nén file và phát hiện các thao tác xóa bất thường.
Vì cache nằm trong thư mục người dùng, chính sách kiểm soát truy cập cấp hệ điều hành không đủ để loại bỏ rủi ro. Cần bổ sung phát hiện tấn công ở cấp endpoint và kiểm tra định kỳ trạng thái cache trên các máy có sử dụng RDP.
Nguyên tắc xử lý nên gồm:
- Giám sát thay đổi file trong Local Application Data.
- Cảnh báo khi có tiến trình PowerShell nén hàng loạt file cache.
- Theo dõi lưu lượng HTTPS bất thường kèm file ZIP mới tạo.
- Điều tra ngay khi phát hiện cache RDP bị xóa ngoài quy trình vận hành.
Với các hệ thống dùng an toàn thông tin làm tiêu chí vận hành, việc rà soát định kỳ cache RDP nên được tích hợp vào quy trình kiểm tra an ninh mạng. Đây là một dấu vết nhỏ nhưng có thể phản ánh việc thu thập dữ liệu từ phiên làm việc từ xa.
Tài liệu tham khảo kỹ thuật
Để đối chiếu thêm về cơ chế và mức độ ảnh hưởng của RDP, có thể tham khảo tài liệu nền tảng từ NVD khi cần tra cứu các lỗ hổng CVE liên quan đến dịch vụ truy cập từ xa và bề mặt tấn công của Windows.
