Descoberta e escopo do risco
Uma nova pesquisa da SCYTHE Labs revelou que o Windows Remote Desktop Protocol (RDP) salva fragmentos visuais da sessão ativa no disco local. Esses fragmentos, conhecidos como cache de bitmap, podem ser extraídos e reconstruídos por atacantes para criar screenshots legíveis da sessão, mesmo após o término da conexão.
O risco é particularmente preocupante porque não requer privilégios administrativos para acesso aos arquivos. Isso significa que qualquer usuário com acesso à máquina pode, teoricamente, extrair esses dados, ou um atacante que já tenha acesso ao sistema pode fazê-lo silenciosamente. O cache permanece no disco muito tempo após a conexão ser encerrada, servindo como um indicador de comprometimento valioso.
O risco do cache de bitmap
O Windows utiliza um recurso de desempenho chamado RDP Bitmap Cache para acelerar o carregamento de conexões remotas. Esse cache armazena pequenos tiles de imagem da sessão ativa diretamente no disco rígido local. Embora projetado para melhorar a experiência do usuário, essa funcionalidade acaba capturando tudo o que é visível na tela, incluindo ferramentas internas, documentos confidenciais e credenciais.
Os arquivos de cache são armazenados em um diretório padrão de usuário, o que facilita o acesso por atacantes. A pesquisa destaca que grupos de ameaças como BianLian, Medusa e Scattered Spider frequentemente exploram o acesso RDP, transformando esse cache em uma ferramenta de reconhecimento poderosa e não detectada.
Como os atacantes reconstruem as imagens
Os adversários podem localizar a pasta de cache facilmente, pois ela reside no caminho de dados de aplicativos locais em todas as máquinas Windows. Eles geralmente usam um comando PowerShell simples para compactar a pasta de cache em um arquivo zip e exfiltrá-lo via HTTPS, que se mistura ao tráfego de rede normal.
Uma vez que os arquivos são extraídos, ferramentas de código aberto como bmc-tools e RdpCacheStitcher são utilizadas para visualizar os dados. O bmc-tools analisa os arquivos de cache brutos em milhares de pequenos tiles de imagem, enquanto o RdpCacheStitcher organiza esses tiles como um quebra-cabeça para reconstruir a tela original da sessão.
Medidas de mitigação recomendadas
Para mitigar esse risco, as equipes de segurança devem verificar se seus sistemas de detecção de endpoint sinalizam o acesso não autorizado à pasta de cache RDP. Além disso, é crucial confirmar que transferências HTTPS de arquivos compactados de diretórios temporários geram alertas imediatos.
Recomenda-se desativar o cache inteiramente usando uma configuração de Política de Grupo do Windows para eliminar o risco. A adição de revisões de cache RDP ao playbook padrão de resposta a incidentes também é recomendada para procurar arquivos ausentes suspeitos, já que a ausência repentina de evidências pode ser um sinal de limpeza por atacantes.
O que os CISOs devem fazer imediatamente
Os CISOs devem priorizar a revisão das configurações de RDP em toda a organização. A desativação do cache de bitmap deve ser considerada uma medida de segurança padrão, especialmente em ambientes onde a sensibilidade dos dados é alta.
A monitoração de atividades de rede para tráfego incomum direcionado a serviços de nuvem ou repositórios de código também é essencial. A educação dos usuários sobre os riscos de compartilhar credenciais e o uso de RDP em redes não confiáveis deve ser reforçada para reduzir a superfície de ataque.