CyberArk, in collaborazione con Microsoft, ha pubblicato una nuova ricerca su una vulnerabilità rilevata in Windows Remote Desktop Protocol (RDP), che permette a qualsiasi utente già collegato a una macchina remota tramite RDP di ottenere accesso alle macchine client di altri utenti connessi. Una volta sfruttata la vulnerabilità Windows RDP, un attaccante potrebbe lanciare un attacco man-in-the-middle, con il risultato di poter visualizzare e modificare i dati degli appunti di altri utenti, accedere alle unità e alle cartelle delle vittime o anche impersonare l’identità di altri utenti connessi alla macchina utilizzando smart card.
La vulnerabilità Windows RDP è classificata come “Importante” da Microsoft ma, al momento, non ci sono prove che questa sia stata sfruttata in the wild.
Perché questa vulnerabilità è consequenziale
Windows RDP è utilizzato in modo esteso dalle organizzazioni, in particolare in seguito al costante aumento del lavoro remoto, cosa che lo rende un obiettivo primario per i potenziali attaccanti.
Specifica per la compromissione delle smart card, comunemente utilizzate per l’autenticazione a livello governativo, la vulnerabilità di Windows RDP permetterebbe a un attaccante di connettersi a qualsiasi risorsa, sulla stessa macchina o su altre macchine, utilizzando la smart card della vittima e il PIN, impersonando efficacemente il contesto di sicurezza della vittima. Ancora più importante, questa vulnerabilità potrebbe portare all’escalation dei privilegi, con il risultato che un attaccante potrebbe ottenere illecitamente diritti di accesso elevati a dati sensibili.
Per eseguire la vulnerabilità è necessario disporre di accesso RDP esistente a una macchina, ma non è raro che gli avversari lo tengano in attesa o cerchino una vulnerabilità. Pertanto, il consiglio per tutte le aziende è quello di applicare la patch immediatamente.
I ricercatori di CyberArk sono stati in grado di eseguire la vulnerabilità sviluppando uno strumento che abusa dei canali virtuali utilizzati da Windows RDP per comunicare tra server e client dall’interno della macchina remota.
