Microsoft ha rilasciato una patch per una vulnerabilità nei suoi Remote Desktop Services che può essere sfruttata in remoto, tramite RDP, senza autenticazione e utilizzata per eseguire codice arbitrario:
Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nei Remote Desktop Services – precedentemente noti come Terminal Services – quando un utente malintenzionato non autenticato si collega al sistema di destinazione utilizzando RDP e invia richieste appositamente predisposte. Questa vulnerabilità è pre-autenticazione e non richiede l’interazione dell’utente. Un malintenzionato in grado di sfruttare questa vulnerabilità può eseguire codice arbitrario sul sistema di destinazione. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi.
Non potrebbe andare peggio di così.
Le correzioni sono incluse nelle versioni di Windows 7 e Windows 2008 (consultare l’advisory per l’elenco completo) come parte del Patch Tuesday più recente di Microsoft. Sono state rese disponibili anche le patch per le versioni di Windows XP e Windows 2003 (consultare la guida cliente per l’elenco completo). Per tutti i dettagli sul Patch Tuesday di questo mese, comprese alcune altre correzioni critiche, leggete l’analisi dei SophosLabs sul May’s Patch Tuesday.
La falla è considerata “wormable”, ovvero ha il potenziale per essere utilizzata nei malware che si diffondono attraverso e tra reti.
Milioni di reti di computer in tutto il mondo hanno RDP esposti al mondo esterno in modo da essere gestiti non solo tramite la rete locale ma anche attraverso Internet. A volte, quell’accesso esterno è stato abilitato di proposito; a volte l’esposizione è un errore indesiderato – ma in entrambi i casi, una rete in cui il RDP può essere raggiunto dall’esterno è un potenziale gateway per un attacco automatizzato al fine di raggiungere una nuova vittima.
Dato il numero di obiettivi e il potenziale per una diffusione esponenziale ed esplosiva, vi suggeriamo di preoccuparvi del quando, e non del se, verrà fatto il reverse engineering della patch e creato un exploit, quindi aggiornate immediatamente. Per ulteriori indicazioni, consultate questo articolo nella sezione “Cosa fare?”.
Il fatto che Microsoft abbia compiuto il passo eccezionale dell’emissione di patch per Windows XP e Windows 2003 è istruttivo.
Dato il potenziale impatto per i clienti e le loro aziende, abbiamo preso la decisione di rendere disponibili gli aggiornamenti di sicurezza per piattaforme che non sono più nel supporto mainstream … Si consiglia ai clienti che usano uno di questi sistemi operativi di scaricare e installare l’aggiornamento il prima possibile.
Nei cinque anni trascorsi dalla data di fine vita di Windows XP e 2003, Microsoft ha rilasciato innumerevoli patch per problemi critici per la sua famiglia di sistemi operativi che non sono state rese disponibili sui suoi prodotti ritirati. Si è interrotto l’embargo di supporto solo in quattro occasioni, inclusa questa, in particolare durante l’epidemia di WannaCry del 2017.
WannaCry era un ransomware worm che si è diffuso in tutto il mondo in un solo giorno sfruttando una falla nella versione 1 del software SMB di Microsoft. Il worm non ha avuto problemi a trovare centinaia di migliaia di sistemi Windows da infettare nonostante l’età del software e una patch rilasciata il mese precedente.
A dimostrare il nostro continuo e collettivo fallimento nell’apprendere la lezione sull’importanza delle patch, WannaCry è stato seguito poco più di un mese dopo da NotPetya, un’altra epidemia di ransomware globale che utilizzava lo stesso exploit.
Cosa fare?
Fai quello che vuoi, ma esegui la patch.
Se, per qualche motivo, non puoi eseguirla immediatamente, Microsoft ti offre le soluzioni e i rimedi seguenti:
Abilita l’NLA (Network Level Authentication). Questo costringe un utente ad autenticarsi prima che l’RDP sia esposto all’attaccante. Non tutti i sistemi interessati supportano l’NLA.
Disattiva l’RDP. Se non è in esecuzione, la vulnerabilità non può essere sfruttata. Per quanto ovvio, alcune organizzazioni non sono in grado di lavorare senza RDP, e alcune lo eseguono senza rendersene conto.
Blocca la porta TCP 3389. La porta di blocco 3389 (e tutte le altre porte assegnate a RDP) sul perimetro impedirà a un attacco di entrare nella tua rete ma non può impedire a un attacco di avviarsi all’interno della rete.
(Se non riesci ad avviare il video, guardalo direttamente su YouTube)