Ecco come funziona l'attacco a Windows Remote Desktop Gateway

Lo scorso 14 gennaio Microsoft ha rilasciato alcuni aggiornamenti critici per risolvere alcune vulnerabilità scoperte in Windows Remote Desktop Gateway (RD Gateway) che possono portare all’esecuzione di codice dannoso in modalità remota: Remote Desktop Gateway: pericolose vulnerabilità sfruttabili da remoto.

Le falle in questione sono estremamente pericolose perché consentono a un aggressore che si collega a distanza al server vulnerabile di eseguirvi codice malevolo senza neppure doversi autenticare.
È comunque importante sottolineare che i bug critici in questione non riguardano le normali configurazione di Desktop remoto ma soltanto i sistemi Windows ove fosse stato abilitato il ruolo RD Gateway: utilizzando tale funzionalità, lo ricordiamo, è possibile collegarsi a distanza a qualsiasi risorsa interna della LAN.

Dopo che il ricercatore danese Ollypwn ha pubblicato il codice proof-of-concept dimostrando come sia possibile far leva sulle vulnerabilità, Luca Marcelli – penetration tester di InfoGuard AG – ha dimostrato in concreto gli effetti della lacuna di sicurezza.
Come si vede nella dimostrazione condivisa in un tweet, facendo leva sulle falle in RD Gateway chiamate nel loro complesso BlueGate.

Ladies and gentlemen, I present you a working Remote Code Execution (RCE) exploit for the Remote Desktop Gateway (CVE-2020-0609 & CVE-2020-0610). Accidentally followed a few rabbit holes but got it to work! Time to write a blog post 😉

Don't forget to patch! pic.twitter.com/FekupjS6qG

— Luca Marcelli (@layle_ctf) January 26, 2020

I problemi di sicurezza sfruttabili dagli aggressori in assenza della patch Microsoft riguardano i bug CVE-2020-0609 e CVE-2020-0610 su Windows Server 2012, 2012 R2, 2016 e 2019.

Marcelli ha aggiunto che nei prossimi giorni spiegherà nel dettaglio come funziona tecnicamente l’attacco ma attenderà che la maggior parte degli utenti abbiano avuto il tempo materiale per installare le patch correttive rilasciate da Microsoft.

Sebbene gli aggressori non abbiano ancora iniziato a effettuare scansioni degli IP pubblici su vasta scala per individuare i sistemi affetti dalle vulnerabilità di RD Gateway, il problema principale sembra dovuto – come peraltro precedentemente evidenziato – all’esposizione della porta UDP 3391 sulla WAN.
Già disattivando semplicemente la casella Enable UDP Transport o bloccando da firewall la porta UDP 3391 si possono annullare i rischi di attacco.

Stando al motore Shodan (vedere Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti), ad oggi vi sarebbero circa 20.000 sistemi collegati alla rete Internet con la porta UDP 3391 aperta nonché pubblicamente visibile e raggiungibile.

Per proteggere i sistemi Windows Server sui quali risulta in uso RD Desktop, si debbono scaricare e installare le seguenti patch Microsoft: CVE-2020-0609 e CVE-2020-0610.