Desktop remoto: un milione di sistemi connessi alla rete sono vulnerabili

Nei giorni scorsi, dopo il rilascio delle patch Microsoft di maggio 2019, vi avevamo parlato di un grave problema di sicurezza che affligge le versioni di Desktop remoto integrate in Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 7 e Windows XP: Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry.
Sui sistemi operativi citati, Microsoft ha invitato gli utenti a installare immediatamente gli aggiornamenti di sicurezza perché la falla scoperta in Desktop remoto è wormable: può essere cioè utilizzata da parte di aggressori remoti per condurre attacchi, senza la necessità di effettuare alcun tipo di autenticazione.

Chi esponesse sull’interfaccia WAN, quindi sull’IP pubblico, la porta utilizzata da Desktop remoto (di solito la porta è la TCP/UDP 3389 ma il servizio deve essere comunque utilizzato e in esecuzione) è bene provveda subito al download e all’installazione degli aggiornamenti Microsoft.

Gli esperti in materia di sicurezza si aspettano un attacco su vasta scala nel giro di qualche giorno perché molte aziende specializzate hanno già confermato di aver messo a punto il codice exploit (PoC, proof-of-concept) per far leva sulla lacuna di sicurezza dei Desktop remoto.

Ovviamente il codice utilizzabile per sferrare attacchi non è stato condiviso ma secondo Robert Graham, ricercatore presso Errata Security, i rischi di un nuovo incidente simile a WannaCry ci sarebbero tutti.
Graham ha effettuato una scansione della rete ricorrendo al “port scanner” masscan e a una versione modificata del tool rdpscan trovando oggi circa 1 milione di dispositivi vulnerabili all’attacco BlueKeep: Messo a punto codice exploit per la falla scoperta in Desktop remoto.

Con una semplice ricerca su Shodan (vedere Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti) è facile scoprire che sono circa 3,8 milioni i dispositivi che espongono Desktop remoto sulla porta 3389 ma quelli effettivamente aggredibili sarebbero, secondo Graham, circa un milione.

Nella sua interessante analisi Graham aggiunge che 1,4 milioni di macchine sono già state aggiornate con l’installazione delle patch Microsoft mentre 1,2 non sono aggredibili per via dell’utilizzo dell’autenticazione a livello di rete (NLA) o del protocollo Credential Security Support Provider (CredSSP).

Bad Packets frattanto osserva di aver rilevato un significativo incremento delle attività di scansione delle reti incentrate sulla ricerca delle vulnerabilità BlueKeep collegate a Desktop remoto. Finora le scansioni più pesanti arrivano da Paesi come Olanda, Russia e Cina.