Una nuova vulnerabilità (classificata come “Importante” da Microsoft) è stata rilevata in Windows Remote Desktop Protocol (RDP) durante una ricerca realizzata da CyberArk, in collaborazione con Microsoft. Tale vulnerabilità permette a qualsiasi utente già collegato a una macchina remota tramite RDP di ottenere accesso alle macchine client di altri utenti connessi. Una volta sfruttata, un attaccante potrebbe lanciare un attacco man-in-the-middle, con il risultato di poter visualizzare e modificare i dati degli appunti di altri utenti, accedere alle unità e alle cartelle delle vittime o anche impersonare l’identità di altri utenti connessi alla macchina utilizzando smart card.
Windows RDP è utilizzato in modo esteso dalle organizzazioni, in particolare in seguito al costante aumento del lavoro remoto, cosa che lo rende un obiettivo primario per i potenziali attaccanti.
Specifica per la compromissione delle smart card, comunemente utilizzate per l’autenticazione a livello governativo, la vulnerabilità permetterebbe a un attaccante di connettersi a qualsiasi risorsa, sulla stessa macchina o su altre macchine, utilizzando la smart card della vittima e il PIN, impersonando efficacemente il contesto di sicurezza della vittima. Ancora più importante, questa vulnerabilità potrebbe portare all’escalation dei privilegi, con il risultato che un attaccante potrebbe ottenere illecitamente diritti di accesso elevati a dati sensibili.
Per eseguire la vulnerabilità è necessario disporre di accesso RDP esistente a una macchina, ma non è raro che gli avversari lo tengano in attesa o cerchino una vulnerabilità. Pertanto, il consiglio per tutte le aziende è quello di applicare la patch immediatamente.
I ricercatori di CyberArk sono stati in grado di eseguire la vulnerabilità sviluppando uno strumento che abusa dei canali virtuali utilizzati da Windows RDP per comunicare tra server e client dall’interno della macchina remota.
Non ci sono al momento prove che questa vulnerabilità sia stata sfruttata in the wild.
