Skip to main content

Difetti nei popolari client RDP consentono ai server dannosi di convertire i PC in Hack

Sei sempre stato avvisato di non condividere l’accesso remoto al tuo computer con persone non fidate per molti motivi: è un consiglio di sicurezza informatica di base, e buon senso, giusto?

Ma cosa succede se dico che non dovresti nemmeno fidarti di chi ti invita o ti offre l’accesso remoto completo ai loro computer?

I ricercatori di sicurezza presso la società di sicurezza informatica Check Point hanno scoperto oltre due dozzine di vulnerabilità sia nei client RDP open source che nel client proprietario di Microsoft che potrebbe consentire a un server RDP dannoso di danneggiare un computer client, al contrario.

RDP o Remote Desktop Protocol, consente agli utenti di connettersi a computer remoti. Il protocollo viene solitamente utilizzato dagli utenti tecnici e dagli amministratori IT per connettersi da remoto ad altri dispositivi sulla rete.

RDP è stato inizialmente sviluppato da Microsoft per il suo sistema operativo Windows, ma esistono diversi client open source per il protocollo RDP che possono essere utilizzati su sistemi Linux e Unix.

I ricercatori di Check Point hanno recentemente condotto un’analisi dettagliata di tre client RDP popolari e più comunemente usati – FreeRDP, rdesktop e il client RDP integrato di Windows – e hanno identificato un totale di 25 errori di sicurezza, alcuni dei quali potrebbero persino consentire a un server RDP dannoso di prendere a distanza il controllo dei computer che eseguono il software RDP client.

FreeRDP, il client RDP open source più popolare e maturo su Github, è stato individuato come vulnerabile a sei vulnerabilità, cinque dei quali sono i principali problemi di corruzione della memoria che potrebbero anche provocare l’esecuzione di codice in modalità remota sul computer del client.

Rdesktop, un vecchio client RDP open source che viene fornito di default nelle distribuzioni di Kali Linux, è risultato essere il client RDP più vulnerabile con un totale di 19 vulnerabilità, 11 delle quali potrebbero consentire a un server RDP dannoso di eseguire codice arbitrario sul computer del cliente.

Sebbene il client RDP integrato di Windows non contenga difetti di esecuzione del codice remoto, i ricercatori hanno scoperto alcuni interessanti scenari di attacco che sono possibili perché il client e il server condividono i dati degli appunti, consentendo al client di accedere e modificare i dati degli appunti sul server e vice versa.

Un server RDP malevolo può origliare negli appunti del cliente: questa è una funzionalità, non un bug. Ad esempio, il client copia localmente una password di amministratore, e ora anche il server ce l’ha “, spiegano i ricercatori mentre spiegano il primo scenario di attacco.

Un server RDP dannoso può modificare qualsiasi contenuto degli appunti utilizzato dal client, anche se il client non emette un’operazione di “copia” all’interno della finestra RDP. Se fai clic su “incolla” quando una connessione RDP è aperta, sei vulnerabile a questo tipo di attacco “, legge il secondo scenario di attacco.

Cosa c’è di più? In un altro video, i ricercatori hanno dimostrato come l’attacco degli appunti utilizzando il software RDP di Microsoft potrebbe persino consentire al server RDP dannoso di ingannare il sistema client nel salvataggio di un file malware nella cartella di avvio di Windows, che verrà automaticamente eseguita ogni volta che si avvia il sistema.

I ricercatori hanno segnalato le vulnerabilità agli sviluppatori dei client RDP interessati nell’ottobre 2018.

FreeRDP ha corretto i difetti come parte della sua versione v2.0.0-rc4 e ha distribuito la versione del software nel suo repository GitHub meno di un mese dopo la notifica.

Rdesktop ha corretto i problemi come parte della sua versione v1.8.4 e ha implementato la correzione a metà gennaio.

Microsoft ha riconosciuto i risultati dei ricercatori, ma ha deciso di non affrontare i problemi. Il colosso della tecnologia ha dichiarato: “Abbiamo determinato che la tua ricerca è valida ma non soddisfa i nostri requisiti per la manutenzione. Per ulteriori informazioni, consulta i Microsoft Security Servicing Criteria per Windows (https://aka.ms/windowscriteria).”

Tuttavia, gli utenti dei client RDP di Windows possono proteggersi dagli attacchi dimostrati dai ricercatori semplicemente disabilitando la funzionalità di condivisione degli appunti, che viene abilitata per impostazione predefinita, quando ci si connette a una macchina remota.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?