Esiste una vulnerabilità critica legata all’esecuzione di codice in modalità remota in Servizi Desktop remoto – precedentemente noti come Servizi terminal – sfruttabile da un possibile attaccante non autenticato che consente di collegarsi al sistema di destinazione utilizzando RDP e inviare richieste appositamente predisposte.
L’RDP è più comunemente conosciuto come Remote Desktop Protocol, un protocollo di rete proprietario sviluppato da Microsoft, che permette la connessione remota da un computer a un altro in maniera grafica. Il protocollo di default che utilizza la porta TCP e UDP 3389.
Questa vulnerabilità è pre-autenticata e non richiede alcuna azione da parte dell’utente titolare del sistema.
L’attaccante è in grado quindi di sfruttare questa vulnerabilità eseguendo codici arbitrari sul sistema di destinazione. Potrebbe infatti installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi ovviamente con tutte le dirette conseguenze di sicurezza che tali azioni comportano.
L’aggiornamento rilasciato da Microsoft risolve la vulnerabilità correggendo il modo in cui Servizi Desktop remoto gestiscono le richieste di connessione.
Microsoft sul proprio sito scrive: “Dato il potenziale impatto a clienti e delle aziende, abbiamo preso la decisione per rendere disponibili gli aggiornamenti della protezione per le piattaforme che non sono più nel supporto mainstream (vedere i collegamenti nella tabella seguente per il download). Questi aggiornamenti sono disponibili da Microsoft Update Catalog solo.
È consigliabile che i clienti che utilizzano uno di questi sistemi operativi scarichino e installino l’aggiornamento appena possibile.”
Qui i link ufficiali per aggiornare il proprio sistema.
Per determinare il ciclo di vita del software o la sua edizione, consultare il Support Lifecycle di Microsoft.
Piattaforma | Articolo | Download | Impatto | Livello di gravità |
Windows XP SP3 x86 | 4500331 | Aggiornamento della protezione | Esecuzione di codice remoto | Critica |
Windows XP Professional x64 Edition SP2 | 4500331 | Aggiornamento della protezione | Esecuzione di codice remoto | Critica |
Windows XP Embedded SP3 x86 | 4500331 | Aggiornamento della protezione | Esecuzione di codice remoto | Critica |
Windows Server 2003 SP2 x86 | 4500331 | Aggiornamento della protezione | Esecuzione di codice remoto | Critica |
Windows Server 2003 x64 Edition SP2 | 4500331 | Aggiornamento della protezione | Esecuzione di codice remoto | Critica |
Ulteriori versioni QUI
Mitigazione:
La seguente soluzione potrebbe essere utile nella tua situazione. In tutti i casi, Microsoft consiglia vivamente di installare gli aggiornamenti per questa vulnerabilità il prima possibile anche se si prevede di lasciare disattivato Servizi Desktop remoto:
1. Disabilitare Servizi Desktop remoto se non sono richiesti.
Se non hai più bisogno di questi servizi sul tuo sistema, considera la possibilità di disabilitarli come best practice di sicurezza. Disabilitare i servizi non utilizzati e non necessari aiuta a ridurre l’esposizione alle vulnerabilità della sicurezza.
Soluzioni:
In tutti i casi, Microsoft consiglia vivamente di installare gli aggiornamenti per questa vulnerabilità il prima possibile anche se si prevede di lasciare questi metodi alternativi in posizione:
1. Abilitare Network Level Authentication (NLA) su sistemi che eseguono edizioni supportate di Windows 7, Windows Server 2008 e Windows Server 2008 R2
È possibile abilitare l’autenticazione a livello di rete per impedire agli aggressori non autenticati di sfruttare questa vulnerabilità. Con l’NLA attivato, un utente malintenzionato dovrebbe prima eseguire l’autenticazione su Servizi Desktop remoto utilizzando un account valido sul sistema di destinazione prima che l’utente malintenzionato possa sfruttare la vulnerabilità.
2. Bloccare la porta TCP 3389 sul firewall perimetrale aziendale
l blocco di questa porta sul firewall perimetrale di rete aiuterà a proteggere i sistemi dai tentativi di sfruttare questa vulnerabilità. Bloccare le porte che insistono sul perimetro aziendale è la migliore difesa per evitare gli attacchi provenienti da Internet.
Per maggiori dettagli:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708