Micro paper:
A pesar que hace ya varios años se demostró que los servicios de Terminal Server pueden ser capturados, estos siguen siendo ampliamente utilizados. Creo que la versión de MS RDP 6 y posteriores son menos vulnerables, pero no estoy tan seguro (espero que alguien mas en la lista nos pueda aclarar la duda).
Para el entusiasta que quiera probar la vulnerabilidad de captura de tráfico por MITM, solo hace falta descargar CAIN en modo APR, para capturar tráfico entre un cliente de escritorio remoto y un servidor de terminal server. Luego, iniciar una sesión y esperar a que se capture el tráfico.
El archivo de captura generado puede ser un poco complejo de leer y requiere ciertos 'parsers', pero existe una herramienta con la cual se puede obtener las teclas presionadas entre el cliente y el servidor. En otras palabras, se puede realizar un 'Key Loggin' de la sesión remota. La herramienta es esta:
http://www.irongeek.com/i.php?page=security/cain-rdp-mitm-parser 
