Vulnerabilità RDP – Colloquialmente nota come BlueKeep, la vulnerabilità CVE-2019-0863 è stata individuata all’interno del servizio di Desktop Remoto (RDP) delle versioni meno recenti di Windows NT (da Windows 7 in giù), e può in teoria essere sfruttata (senza alcun intervento dell’utente) per eseguire codice malevolo da remoto, installare programmi, modificare o cancellare dati e altro ancora.

In questa demo, come avviene un attacco tipico sfruttando questa vulnerabilità.

Vulnerabilità RDP, prima fase

1. L’attaccante utilizza un exploit del protocollo RDP (CVE-2019-0708, aka “Bluekeep”) per ottenere una Reverse Command Shell dal client Windows non aggiornato;

2. L’attaccante esplora il sistema e trova un file con all’interno le password dell’utente, che potrà riutilizzare per successivi attacchi. In questa fase l’attaccante potrebbe effettuare movimenti laterali su altri sistemi della rete aziendale.

Vulnerabilità RDP, seconda fase

1. L’attaccante utilizza un altro exploit del protocollo RDP (CVE-2012-0152) per causare il crash del sistema operativo (Denial of Service);
2. Il sistema dell’utente si riavvia.

Di seguito il video demo dell’attacco:

Per la corretta gestione dei Cyber Risk è opportuno effettuare attività di sicurezza preventiva e di sicurezza predittiva.

Le attività di sicurezza preventiva Tecnologica:

1. Vulnerability Assessment
2. Network Scan
3. Penetration Test

Attività di Sicurezza Preventiva relativa allo Human Risk

• Phishing Attack Simulation
• Formazione e Awareness

Attività di Sicurezza Predittiva e di Threat Intelligence

1. Domain Threat Intelligence
2. Cyber Threat Intelligence