Gli attacchi fileless interessano anche i server di Desktop Remoto

Le minacce fileless sono in continua crescita e si basano su tecniche che non prevedono la modifica del file system del sistema aggredito: Rimozione malware: come accorgersi della presenza di minacce fileless.
Bitdefender ha scoperto che molti sistemi sui quali è in esecuzione il server di Desktop remoto Microsoft sono stati infettati, a livello mondiale (Italia compresa), da un set di minacce capaci di sottrarre i dati dell’utente e modificare il contenuto degli Appunti del sistema operativo.

Gli esperti di Bitdefender spiegano che gli aggressori sferrano un attacco fileless creando un’unità virtuale in memoria e indicata in Esplora file, da parte del sistema operativo, come tsclient.
Si tratta in realtà di una funzionalità che esiste da anni e che è direttamente supportata (vedere questo documento) dai Windows Remote Desktop Services sebbene poco conosciuta.

Un client Desktop remoto può quindi richiedere la creazione di un’unità virtuale lato server che rimane gestita in memoria (non viene scritto nulla a livello di hard disk o SSD) e utilizzarne il contenuto per svolgere operazioni sottraendosi ai principali controlli di sicurezza.

Bitdefender ha rivelato molteplici unità virtuali su server RDP sparsi per tutto il globo: buona parte di essi erano collegati ad attività di cryptomining anche se ad oggi non sono chiare le modalità che sono state utilizzate dai criminali informatici per aggredire Desktop remoto.

Per disattivare le funzionalità utilizzate dagli aggressori è possibile, sul sistema server, premere la combinazione di tasti Windows+R, digitare gpedit.msc quindi portarsi in corrispondenza della sezione Configurazione computer, Modelli amministrativi, Componenti di Windows, Servizi Desktop remoto, Host sessione di Desktop remoto, Reindirizzamento dispositivi e risorse. Nel pannello di destra si potranno quindi disabilitare le policy Non consentire il reindirizzamento degli Appunti e Non consentire il reindirizzamento delle unità.