Il Remote Desktop Control viene utilizzato per la maggior parte dei sistemi operativi Windows e consente agli utenti di accedere da remoto fornendo un’interfaccia utente grafica. Microsoft lo utilizza perfino come metodo predefinito per la gestione delle macchine virtuali di Azure. Una volta però, che un hacker entra all’interno di RDP, quest’ultimo verrà utilizzato come tramite per accedere a molti altri sistemi. In effetti, gli strumenti di accesso remoto RDP sono molto più efficienti rispetto alle vulnerabilità classiche, in quanto esso richiede solo delle credenziali corrette.
Come funziona il PSR
Prima di addentrarci nei dettagli della minaccia e della protezione RDP, dobbiamo capire come essa funziona. RDP è un protocollo di comunicazione bidirezionale che trasmette l’output dello schermo del server al client e trasmettere l’input della tastiera e del mouse dal client al server.
Subito dopo la connessione, client e server, concordano il tipo di sicurezza RDP e scelgono tra due modalità di supporto:
- Modalità standard, basata su RC4
- Modalità avanzata, in cui RDP si basa su altri protocolli, come TLS o CredSSP.
Vulnerabilità relative a RDP e organizzazione APT
BlueKeep
Nel 2019, i ricercatori hanno scoperto una vulnerabilità critica in RDP, chiamata BlueKeep (CVE-2019-0708) che può essere utilizzata per eseguire in remoto un codice arbitrario senza alcuna interazione dell’utente o credenziali valide, le cui combinazioni possono portare alla diffusione di worm. La caratteristica distintiva di BlueKeep è che può connettersi a vecchi sistemi Windows, portando Microsoft a creare nuove patch.
DejaBlue
DejaBlue, consistente in una una serie di vulnerabilità, è effettivamente simile a BlueKeep, ma consente agli aggressori di dirottare i sistemi vulnerabili senza alcuna forma di autenticazione con, a differenza di BlueKeep, delle vulnerabilità nelle versioni più recenti di Windows.
Alcuni rischi comuni nella sicurezza RDP includono credenziali di accesso utente deboli e l’impossibilità di registrare o monitorare il comportamento di accesso del server RDP, che consente agli aggressori di attaccare con spray password tutti i sistemi pubblici.