Oggi Microsoft ha rilasciato correzioni per una vulnerabilità critica di Remote Code Execution, CVE-2019-0708 , in Servizi Desktop Remoto – precedentemente noti come Servizi Terminal – che riguarda alcune versioni precedenti di Windows. Un utente malintenzionato non autenticato si collega al sistema di destinazione utilizzando RDP e invia richieste predisposte.
Questo può portare all’esecuzione di codice arbitrario sul sistema target, tutto ciò può comportare l’installazione di programmi, visualizzare modificare eliminare dati o addirittura creare nuovi account con privilegi di amministratore.
Soluzione
L’aggiornamento risolve la vulnerabilità correggendo il modo in cui Servizi Desktop remoto gestiscono le richieste di connessione.
Soluzioni alternative
Le seguenti soluzioni alternative potrebbero essere utili nella tua situazione. In tutti i casi, Microsoft consiglia vivamente l’aggiornamento del sistema anche se menziona le seguenti “guide” come rimedi alternativi:
1. Abilitare Network Level Authentication (NLA) su sistemi che eseguono edizioni supportate di Windows 7, Windows Server 2008 e Windows Server 2008 R2
È possibile abilitare l’autenticazione a livello di rete per impedire agli aggressori non autenticati di sfruttare questa vulnerabilità. Con l’NLA attivato, un utente malintenzionato dovrebbe prima eseguire l’autenticazione su Servizi Desktop remoto utilizzando un account valido sul sistema di destinazione prima che l’utente malintenzionato possa sfruttare la vulnerabilità.
2. Bloccare la porta TCP 3389 sul firewall perimetrale aziendale
La porta TCP 3389 viene utilizzata per avviare una connessione con il componente interessato. Il blocco di questa porta sul firewall perimetrale di rete aiuterà a proteggere i sistemi che stanno dietro il firewall dai tentativi di sfruttare questa vulnerabilità. Questo può aiutare a proteggere le reti dagli attacchi che hanno origine al di fuori del perimetro aziendale. Bloccare le porte interessate al perimetro aziendale è la migliore difesa per evitare gli attacchi basati su Internet. Tuttavia, i sistemi potrebbero essere ancora vulnerabili agli attacchi provenienti dal loro perimetro aziendale.
Sistemi Interessati
| Windows 7 per Systems Service Pack 1 a 32 bit | ||||||
| Windows 7 per Systems Pack 1 basato su x64 | ||||||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 | ||||||
| Windows Server 2008 per sistemi a 32 bit Service Pack 2 (installazione Server Core) | ||||||
| Windows Server 2008 per sistemi basati su Itanium Service Pack 2 | ||||||
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 | ||||||
| Windows Server 2008 per sistemi basati su x64 Service Pack 2 (installazione Server Core) | ||||||
| Windows Server 2008 R2 per i sistemi basati su Itanium Service Pack 1 | ||||||
| Windows Server 2008 R2 per Systems Pack 1 basato su x64 | ||||||
| Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core) |
