3675 Letture
Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto

Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto

Pubblicato un tool gratuito che consente di effettuare la scansione di un insieme di indirizzi IP e stabilire quali dispositivi sono vulnerabili ad attacchi nei confronti di Desktop remoto.

È passato quasi un mese da quando Microsoft ha rilasciato gli aggiornamenti (anche per le versioni di Windows non più supportate, ma ancora usate da molti utenti e in molteplici contesti lavorativi) per risolvere la vulnerabilità battezzata BlueKeep, scoperta nella funzionalità Desktop remoto.

Da allora molti esperti in materia di sicurezza informatica hanno annunciato di aver sviluppato codici PoC (Proof-of-Concept) funzionanti, utili per sfruttare la lacuna di sicurezza in questione.

Fortunatamente nessun codice PoC è stato reso pubblico ma è altamente probabile che i criminali informatici siano al lavoro, da settimane, sul reverse engineering delle patch Microsoft e sullo sviluppo di malware utilizzabile sia per attacchi mirati che per aggressioni su vasta scala: Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry.


Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto

Certo è che prima o poi gli attacchi inizieranno, tanto che Microsoft ha ritenuto opportuno esortare nuovamente all'installazione delle patch ufficiali: Vulnerabilità in Desktop remoto, Microsoft rinnova l'invito a installare gli aggiornamenti.

Il noto ricercatore Robert Graham, dopo aver confermato la scoperta di circa 1 milione di dispositivi vulnerabili a livello mondiale aggredibili sull'IP pubblico (vedere Desktop remoto: un milione di sistemi connessi alla rete sono vulnerabili), ha distribuito il suo RDPScan, utilità gratuita che permette la scansione della rete alla ricerca di sistemi vulnerabili.


RDPScan, una volta in esecuzione, consente di verificare su quali dispositivi la porta 3389 risulta aperta e, per ciascuno di essi, accertare se il sistema fosse attaccabile o meno.

Usando la sintassi rdpscan 192.168.1.20-192.168.1.100 si può effettuare la scansione di un intervallo ben preciso di indirizzi IP mentre usando lo switch workers si può incrementare la velocità di scansione effettuando più attività in parallelo.
Il comando rdpscan 192.168.1.0/24 consente di analizzare gli IP da 192.168.1.1 a 192.168.1.254 (si noti l'utilizzo della notazione CIDR /24).

RDPScan è disponibile sia nelle versioni per sistemi Windows che per macOS.

Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto