CyberArk con Microsoft ha pubblicato una ricerca su una vulnerabilità rilevata internamente a Windows Remote Desktop Protocol (RDP). Il problema permette a qualsiasi utente già collegato a una macchina remota tramite RDP di ottenere accesso alle macchine client di altri utenti connessi. Una volta sfruttata, un attaccante potrebbe lanciare un attacco man-in-the-middle. Il risultato è quello di poter visualizzare e modificare i dati degli appunti di altri utenti, accedere alle unità e alle cartelle delle vittime. Oppure anche impersonare l’identità di altri utenti connessi alla macchina utilizzando smart card. La vulnerabilità è classificata come “Importante” da Microsoft. Non ci sono comnunqu al momento prove che questa vulnerabilità sia stata sfruttata in the wild.
Una vulnerabilità consequenziale
Windows RDP è utilizzato in modo esteso dalle organizzazioni. In particolare in seguito al costante aumento del lavoro remoto. Questo lo rende un obiettivo primario per i potenziali attaccanti. Specifica per la compromissione delle smart card, la vulnerabilità permetterebbe a un attaccante di connettersi a qualsiasi risorsa, sulla stessa macchina o su altre macchine. Utilizzando la smart card della vittima e il PIN e impersonando il contesto di sicurezza della vittima. Ancora più importante, questa vulnerabilità potrebbe portare all’escalation dei privilegi. Con il risultato che un attaccante potrebbe ottenere illecitamente diritti di accesso elevati a dati sensibili.
Ricerca CyberArk: vulnerabilità di Windows RDP
Per eseguire la vulnerabilità è necessario disporre di accesso RDP esistente a una macchina. Non è raro tuttavia che gli avversari lo tengano in attesa o cerchino una vulnerabilità. Pertanto, il consiglio per tutte le aziende è quello di applicare la patch immediatamente.I ricercatori di CyberArk sono stati in grado di eseguire la vulnerabilità sviluppando uno strumento che abusa dei canali virtuali utilizzati da Windows RDP. Così da comunicare tra server e client dall’interno della macchina remota. La ricerca completa è disponibile in questo blog.