![](\"https:\/\/sophos.files.wordpress.com\/2019\/05\/rdp.png\"\/)
<\/p>\nMicrosoft ha rilasciato una patch per una vulnerabilit\u00e0 nei suoi Remote Desktop Services che pu\u00f2 essere sfruttata in remoto, tramite RDP, senza autenticazione e utilizzata per eseguire codice arbitrario:<\/p>\n
Esiste una vulnerabilit\u00e0 legata all’esecuzione di codice in modalit\u00e0 remota nei Remote Desktop Services – precedentemente noti come Terminal Services – quando un utente malintenzionato non autenticato si collega al sistema di destinazione utilizzando RDP e invia richieste appositamente predisposte. Questa vulnerabilit\u00e0 \u00e8 pre-autenticazione e non richiede l’interazione dell’utente. Un malintenzionato in grado di sfruttare questa vulnerabilit\u00e0 pu\u00f2 eseguire codice arbitrario sul sistema di destinazione. Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi.<\/em><\/p>\n Non potrebbe andare peggio di cos\u00ec.<\/p>\n Le correzioni sono incluse nelle versioni di Windows 7 e Windows 2008 (consultare l’advisory<\/a> per l’elenco completo) come parte del Patch Tuesday pi\u00f9 recente di Microsoft. Sono state rese disponibili anche le patch per le versioni di Windows XP e Windows 2003 (consultare la guida cliente<\/a> per l’elenco completo). Per tutti i dettagli sul Patch Tuesday di questo mese, comprese alcune altre correzioni critiche, leggete l’analisi dei SophosLabs<\/a> sul May’s Patch Tuesday.<\/p>\n La falla \u00e8 considerata “wormable”, ovvero ha il potenziale per essere utilizzata nei malware che si diffondono attraverso e tra reti.<\/p>\n Milioni di reti di computer in tutto il mondo hanno RDP esposti al mondo esterno in modo da essere gestiti non solo tramite la rete locale ma anche attraverso Internet. A volte, quell’accesso esterno \u00e8 stato abilitato di proposito; a volte l’esposizione \u00e8 un errore indesiderato – ma in entrambi i casi, una rete in cui il RDP pu\u00f2 essere raggiunto dall’esterno \u00e8 un potenziale gateway per un attacco automatizzato al fine di raggiungere una nuova vittima.<\/p>\n Dato il numero di obiettivi e il potenziale per una diffusione esponenziale ed esplosiva, vi suggeriamo di preoccuparvi del quando, e non del se, verr\u00e0 fatto il reverse engineering della patch e creato un exploit, quindi aggiornate immediatamente. Per ulteriori indicazioni, consultate questo articolo nella sezione \u201cCosa fare?\u201d.<\/p>\n Il fatto che Microsoft abbia compiuto il passo eccezionale dell’emissione di patch per Windows XP e Windows 2003 \u00e8 istruttivo.<\/p>\n Dato il potenziale impatto per i clienti e le loro aziende, abbiamo preso la decisione di rendere disponibili gli aggiornamenti di sicurezza per piattaforme che non sono pi\u00f9 nel supporto mainstream … Si consiglia ai clienti che usano uno di questi sistemi operativi di scaricare e installare l’aggiornamento il prima possibile.<\/em><\/p>\n Nei cinque anni<\/a> trascorsi dalla data di fine vita di Windows XP e 2003, Microsoft ha rilasciato innumerevoli patch per problemi critici per la sua famiglia di sistemi operativi che non sono state rese disponibili sui suoi prodotti ritirati. Si \u00e8 interrotto l’embargo di supporto solo in quattro occasioni, inclusa questa, in particolare durante l’epidemia di WannaCry del 2017<\/a>.<\/p>\n WannaCry era un ransomware worm che si \u00e8 diffuso in tutto il mondo in un solo giorno sfruttando una falla nella versione 1 del software SMB di Microsoft. Il worm non ha avuto problemi a trovare centinaia di migliaia di sistemi Windows da infettare nonostante l’et\u00e0 del software e una patch rilasciata il mese precedente.<\/p>\n A dimostrare il nostro continuo e collettivo fallimento nell’apprendere la lezione<\/a> sull’importanza delle patch, WannaCry \u00e8 stato seguito poco pi\u00f9 di un mese dopo da NotPetya, un’altra epidemia di ransomware globale<\/a> che utilizzava lo stesso exploit.<\/p>\n Fai quello che vuoi, ma esegui la patch.<\/p>\n Se, per qualche motivo, non puoi eseguirla immediatamente, Microsoft ti offre le soluzioni e i rimedi seguenti:<\/p>\n Abilita l\u2019NLA (Network Level Authentication).<\/strong> Questo costringe un utente ad autenticarsi prima che l\u2019RDP sia esposto all’attaccante. Non tutti i sistemi interessati supportano l’NLA.<\/p>\n Disattiva l\u2019RDP.<\/strong> Se non \u00e8 in esecuzione, la vulnerabilit\u00e0 non pu\u00f2 essere sfruttata. Per quanto ovvio, alcune organizzazioni non sono in grado di lavorare senza RDP, e alcune lo eseguono senza rendersene conto.<\/p>\n Blocca la porta TCP 3389.<\/strong> La porta di blocco 3389 (e tutte le altre porte assegnate a RDP) sul perimetro impedir\u00e0 a un attacco di entrare nella tua rete ma non pu\u00f2 impedire a un attacco di avviarsi all’interno della rete.<\/p>\nCosa fare?<\/h2>\n