Nuova vulnerabilità in RDP permette di accedere anche ai client: c'è già la patch

Una nuova vulnerabilità nel protocollo RDP è stata scoperta da CyberArk e ha già ricevuto una correzione da parte di Microsoft. La vulnerabilità consente a un attaccante di ottenere accesso alle macchine client connesse a un server vulnerabile, permettendo così di impersonare altri utenti e ottenere potenzialmente un aumento dei privilegi.

Nuova vulnerabilità nel protocollo RDP scoperta da CyberArk

La vulnerabilità scoperta da CyberArk, descritta in un articolo tecnico sul blog dell'azienda, richiede che un attaccante abbia già accesso via RDP a una macchina compromessa. In tale caso, l'attaccante può sfruttare una mancanza di controlli nel server RDP per intercettare le connessioni da parte dei client e ottenere, nonché potenzialmente modificare, i dati in esse contenuti. Ad esempio, sfruttando questa vulnerabilità un attaccante può ottenere le credenziali degli utenti collegati, così da ottenere potenzialmente accesso a utenti con privilegi di livello amministrativo.

Si tratta, di fatto, di un attacco che consente di diventare facilmente un man in the middle, ovvero un'entità terza in grado di intercettare le comunicazioni, leggerle e modificarle. Tramite questa vulnerabilità, inolte, è possibile ottenere accesso a qualunque risorsa presente su una macchina client che si collega al server RDP, incluse anche le smart card. CyberArk ha dimostrato come sia possibile ottenere accesso alla smart card e al relativo PIN quando un utente si collega a un server controllato da un attaccante; in questo modo l'attaccante può collegarsi a qualunque altra risorsa sulla rete della vittima usando le sue credenziali.

La vulnerabilità coinvolge tutte le versioni di Windows Server esaminate, ovvero dalla 2008 R2 in poi. Microsoft ha già rilasciato patch correttive per tutte le versioni di Windows supportate.