Microsoft ha risolto una vulnerabilità critica in alcune versioni di Windows che può essere sfruttata per creare un potente worm. La vulnerabilità, rintracciata come CVE-2019-0708, si trova in Servizi remoti Desktop. Poiché il rischio e la vulnerabilità sono "così" alti, Microsoft ha persino rilasciato patch per Windows XP e Windows Server 2003, anche se queste piattaforme sono fuori supporto da un anno (anche se ancora utilizzate).
Questo post include estratti da un articolo di CSO Online "Microsoft sollecita i clienti di Windows a mettere una patch alla falla RDP wormable". Leggi l'articolo completo qui.
Ciò che rende la vulnerabilità così pericolosa è che può essere sfruttata da remoto senza autenticazione o interazione con l'utente, semplicemente inviando una richiesta RDP maliziosamente elaborata a un sistema vulnerabile. Un attacco riuscito può portare all'esecuzione di codice maligno sul sistema con pieni diritti utente, dando agli aggressori la possibilità di installare programmi, modificare o cancellare i dati dell'utente e anche di creare nuovi account.
"In altre parole, la vulnerabilità è 'wormable', il che significa che qualsiasi malware futuro che sfrutti questa vulnerabilità potrebbe propagarsi da computer vulnerabile a computer vulnerabile in modo simile al WannaCry Il malware si è diffuso in tutto il mondo nel 2017," Simon Pope, direttore di Incident Response presso il Microsoft Security Response Center, ha detto in un blog post.
"Mentre non abbiamo osservato alcuno sfruttamento di questa vulnerabilità, è altamente probabile che gli attori malintenzionati scrivano un exploit per questa vulnerabilità e lo incorporino nel loro malware".
RDP è stato un vettore di infezione popolare per le minacce malware in passato, in particolare per ransomware, crypto miners e memory scrapers per i punti vendita. Gli aggressori in genere rubano o forzano le credenziali RDP per ottenere l'accesso ai sistemi. Sfortunatamente, troppi ambienti RDP sono lasciati senza un adeguato perimetro di sicurezza, come ha dimostrato la ricerca Awingu nel 2018 (ad es. Belgio, Italia, Svezia).
Impatto sulle piattaforme legacy
La vulnerabilità colpisce i servizi remoti Desktop in Windows 7, Windows Server 2008 R2 e Windows Server 2008, così come nelle versioni legacy di Windows che hanno raggiunto la fine della vita. Oltre alle versioni di Windows supportate, Microsoft ha deciso di rilasciare aggiornamenti di sicurezza per Windows XP, Windows XP Embedded e Windows Server 2003, probabilmente perché queste versioni di Windows sono ancora ampiamente utilizzate in ambienti legacy e su apparecchiature specializzate come bancomat, dispositivi medici, chioschi self-service, terminali di punti vendita e altro.
Risolvere la vulnerabilità con Awingu e le migliori pratiche
Con Awingu, gli utenti non hanno accesso diretto all'infrastruttura RDP. Tutto funziona attraverso una connessione sicura nel browser. Come tale, molte delle vulnerabilità RDP non sono un rischio così rilevante. Tuttavia, è meglio praticare l'aggiornamento dei sistemi con la relativa patch il più presto possibile. Microsoft consiglia inoltre quanto segue:
- Disabilitate i servizi Desktop remoti se non sono necessari. Se non hai più bisogno di questi servizi sul tuo sistema, considera di disabilitarli come migliore pratica di sicurezza. Disabilitare i servizi inutilizzati e non necessari aiuta a ridurre l'esposizione alle vulnerabilità di sicurezza.
- Abilitare l'autenticazione a livello di rete (NLA) sui sistemi che eseguono le edizioni supportate di Windows 7, Windows Server 2008 e Windows Server 2008 R2
- Bloccare la porta TCP 3389 nel firewall perimetrale dell'impresa per prevenire gli attacchi che provengono da Internet. (nel caso di Awingu, la 3389 non è necessaria. L'accesso a Internet funziona tramite la porta 443 (https))
Vuoi saperne di più e vedere Awingu in azione? Contattateci!
English 
Italian 
German 
Spanish 
French