Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto

Pubblicato un tool gratuito che consente di effettuare la scansione di un insieme di indirizzi IP e stabilire quali dispositivi sono vulnerabili ad attacchi nei confronti di Desktop remoto.
Michele Nasi
Pubblicato il 11 giu 2019
Come cercare i sistemi che usano una versione vulnerabile di Desktop remoto

È passato quasi un mese da quando Microsoft ha rilasciato gli aggiornamenti (anche per le versioni di Windows non più supportate, ma ancora usate da molti utenti e in molteplici contesti lavorativi) per risolvere la vulnerabilità battezzata BlueKeep, scoperta nella funzionalità Desktop remoto.

Da allora molti esperti in materia di sicurezza informatica hanno annunciato di aver sviluppato codici PoC (Proof-of-Concept) funzionanti, utili per sfruttare la lacuna di sicurezza in questione.

Fortunatamente nessun codice PoC è stato reso pubblico ma è altamente probabile che i criminali informatici siano al lavoro, da settimane, sul reverse engineering delle patch Microsoft e sullo sviluppo di malware utilizzabile sia per attacchi mirati che per aggressioni su vasta scala: Vulnerabilità in Desktop remoto può esporre ad attacchi simili a WannaCry.

Certo è che prima o poi gli attacchi inizieranno, tanto che Microsoft ha ritenuto opportuno esortare nuovamente all’installazione delle patch ufficiali: Vulnerabilità in Desktop remoto, Microsoft rinnova l’invito a installare gli aggiornamenti.

Il noto ricercatore Robert Graham, dopo aver confermato la scoperta di circa 1 milione di dispositivi vulnerabili a livello mondiale aggredibili sull’IP pubblico (vedere Desktop remoto: un milione di sistemi connessi alla rete sono vulnerabili), ha distribuito il suo RDPScan, utilità gratuita che permette la scansione della rete alla ricerca di sistemi vulnerabili.

RDPScan, una volta in esecuzione, consente di verificare su quali dispositivi la porta 3389 risulta aperta e, per ciascuno di essi, accertare se il sistema fosse attaccabile o meno.

Usando la sintassi rdpscan 192.168.1.20-192.168.1.100 si può effettuare la scansione di un intervallo ben preciso di indirizzi IP mentre usando lo switch workers si può incrementare la velocità di scansione effettuando più attività in parallelo.
Il comando rdpscan 192.168.1.0/24 consente di analizzare gli IP da 192.168.1.1 a 192.168.1.254 (si noti l’utilizzo della notazione CIDR /24).

RDPScan è disponibile sia nelle versioni per sistemi Windows che per macOS.

Ti consigliamo anche

Aree di lavoro, il nuovo PowerToy posiziona le finestre Windows in automatico
Windows

Aree di lavoro, il nuovo PowerToy posiziona le finestre Windows in automatico
La deframmentazione delle unità diventa un gioco: scoprite qualche dettaglio poco noto
Windows

La deframmentazione delle unità diventa un gioco: scoprite qualche dettaglio poco noto
Nel mondo del gaming Windows 11 ha finalmente superato Windows 10
Windows

Nel mondo del gaming Windows 11 ha finalmente superato Windows 10
Recall, regna il caos: la funzione AI non potrà essere disinstallata, spiega Microsoft
Windows

Recall, regna il caos: la funzione AI non potrà essere disinstallata, spiega Microsoft
Link copiato negli appunti