Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry

• Business
• Patch management

Nel corso del “patch day” odierno Microsoft ha rilasciato un’importantissima patch che consente di risolvere una preoccupante lacuna di sicurezza scoperta nella funzionalità Desktop remoto di Windows e in particolare nei servizi che ne sovrintendono le varie operazioni (Remote Desktop Services o Terminal Services): ne avevamo parlato nell’articolo RDP, cos’è e perché gli attacchi brute force sono in aumento.

L’aspetto che desta non poche ansie che è la vulnerabilità CVE-2019-0708 appena sanata da Microsoft è wormable: può essere cioè sfruttata dai criminali informatici per attaccare i sistemi Windows Server 2008, Windows Server 2008 R2 e Windows 7 in maniera automatizzata con la possibilità di eseguire codice arbitrario, potenzialmente nocivo, sulla macchina presa di mira.
Gli aggiornamenti possono essere installati, oltre che attraverso Windows Update, anche seguendo i link pubblicati a questo indirizzo.

Per far capire la gravità del problema, Microsoft ha scelto di rilasciare pubblicamente patch correttive anche per sistemi da tempo non più supportati come Windows Server 2003 e Windows XP (gli aggiornamenti per queste piattaforme sono scaricabili da questa pagina).

I tecnici Microsoft spiegano che la mancata applicazione delle patch correttive potrebbe favorire, nelle prossime settimane, la diffusione a macchia d’olio di malware simili nel comportamento al ben noto WannaCry (che impazzò in lungo e in largo a partire da metà 2017). L’attacco può essere infatti posto in essere da utenti e processi non autenticati sulla macchina vulnerabile.

Le versioni più recenti di Windows, quindi Windows 8.1, Windows 10, Windows Server 2012 e successivi sarebbero invece esenti da qualunque problema.

Problematica anche la vulnerabilità sanabile attraverso l’applicazione della patch documentata in questa pagina e relativa al pacchetto ASP.NET Core.
In questo caso, in caso di assenza dell’aggiornamento correttivo e qualora sul server web fossero in esecuzione applicazioni web ASP.NET Core, utenti malintenzionati potrebbero sferrare un attacco DoS (Denial of Service) senza la necessità di effettuare alcun tipo di autenticazione.
Per verificare la presenza di ASP.NET Core sulla propria macchina suggeriamo di impartire il seguente comando:

reg query "HKLM\SOFTWARE\WOW6432Node\Microsoft\Updates\.NET Core"

La restituzione del messaggio Errore: Impossibile trovare la chiave del Registro di sistema o il valore specificato certifica l’assenza di ASP.NET Core sulla macchina in uso.