Un bug di sicurezza presente nel protocollo Microsoft RDP (Remote Desktop Protocol), utilizzato per la funzionalità Desktop remoto e quindi per gestire a distanza qualunque sistema Windows, può essere sfruttato anche per superare i confini delle macchine virtuali Hyper-V.
Eyal Itkin, ricercatore presso Check Point, aveva scoperto il problema di sicurezza a febbraio 2019: ne avevamo parlato nel nostro articolo RDP, vulnerabilità scoperte nei client opensource e in quello ufficiale di Microsoft.
L’esperto aveva rilevato che con la condivisione degli appunti abilitata (è attiva per impostazione predefinita), un server di Desktop remoto malevolo poteva provocare il trasferimento automatico di file arbitrari verso il sistema client. Disponendo la copia di uno o più file nelle cartelle del sistema operativo che si occupano di caricare automaticamente un eseguibile o uno script all’avvio di Windows, poteva essere richiesta l’esecuzione di codice malevolo sulla macchina client.
Inizialmente i tecnici di Microsoft hanno fatto presente che la falla non era così grave e che quindi non sarebbe stata risolta. Più di recente, però, quando Itkin ha spiegato che il problema di sicurezza poteva essere sfruttato anche sulle macchine virtuali Hyper-V in Windows 10 e su Azure, Microsoft ha deciso di rilasciare una patch ufficiale.
Come si vede nel video, semplicemente collegandosi via RDP (Desktop remoto) a una macchina Hyper-V malevola, questa può provocare l’insediamento sul sistema client di un file dannoso. L’evento trigger dal quale scaturisce il problema è una comune operazione di copia e incolla.
Dana Baril (team di ricerca Microsoft Defender ATP) ha confermato che la grave lacuna di sicurezza è stata risolta con il rilascio degli aggiornamenti di luglio 2019 (in particolare con questa patch ufficiale) e ha pubblicato una lunga analisi in cui spiega come il lavoro di Check Point serva da lezione per il futuro.