Remote Desktop Gateway: pericolose vulnerabilità sfruttabili da remoto

Nel corso del “patch day” di gennaio 2020, Microsoft ha rilasciato alcuni aggiornamenti di sicurezza destinati agli utenti di Remote Desktop Gateway (RD Gateway) su Windows Server 2012, 2012 R2, 2016 e 2019.
Le problematiche di sicurezza, alle quali sono state assegnati gli identificativi CVE-2020-0609 e CVE-2020-0610, sono particolarmente gravi perché permettono l’accesso a distanza via Desktop remoto da parte di utenti non autenticati, addirittura senza alcuna interazione da parte dell’amministratore della macchina.

Inviando richieste congegnate “ad hoc” attraverso il protocollo RDP, un aggressore può quindi eseguire codice arbitrario sul sistema server altrui, installare applicazioni, visualizzare, modificare o eliminare i dati, creare nuovi account utente con i privilegi più estesi in assoluto.

Remote Desktop Gateway è uno dei ruoli dell’infrastruttura di Remote Desktop che permette di collegarsi a distanza a qualsiasi risorsa interna della LAN.
Indipendentemente dai server remoti che si desiderano raggiungere, è sufficiente configurare un unico server Remote Desktop Gateway esposto sulla porta WAN e un’unica porta aperta (TCP 443) per potersi connettere con l’intera infrastruttura aziendale.

Le gravi falle di sicurezza scoperte in Remote Desktop Gateway, tuttavia, rappresentano a questo punto una grave minaccia: in assenza delle patch Microsoft l’intera infrastruttura può essere presa in ostaggio dai criminali informatici che decidessero di sfruttare le vulnerabilità.

Come si evince nell’analisi pubblicata da ISC (SANS Institute) alle due falle di sicurezza è stato assegnato un livello di pericolosità intrinseco che si avvicina al valore massimo.

Il problema non interessa però tutta la platea degli utenti di Desktop remoto e tutte le installazioni di Windows Server ma soltanto coloro che avessero configurato il ruolo Remote Desktop Gateway ed esposto le porte 443 e 3389 sull’IP pubblico.

Secondo gli esperti di Kryptos Logic, semplicemente disattivando la casella Enable UDP Transport o bloccando da firewall la porta UDP 3391, si possono azzerare i rischi di aggressione.