https://www.libertycommerce.it/blog/2018/03/5-vulnerabilita-dei-terminal-server-connessione-rdp/
Vai al contenuto

5 vulnerabilità dei Terminal Server (connessione RDP)

A volte, i Terminal Server possono avere vulnerabilità critiche. Gli hacker di tutto il mondo sono sempre in agguato per tentare di attaccare i sistemi informatici facendo leva su vulnerabilità diverse. Bug terminal serverCiò può accadere specialmente se si utilizza spesso una connessione di tipo RDP. Questi problemi, dovrebbero essere risolti al più presto perché in caso contrario possono causare danni permanenti al proprio sistema informatico.

Tuttavia, è bene conoscere accuratamente quali sono le vulnerabilità più comuni in cui ci si potrebbe imbattere.
Ecco quindi quali sono le più comuni 5 vulnerabilità dei Terminal Server!

1. Corruzione memoria grafica
Questa vulnerabilità è stata identificata con il codice CVE-2015-6108 ed è ritenuta una delle più pericolose per il sistema Windows. In particolare, la corruzione della memoria grafica riguarda i terminal server della versione Windows 2008. Questa vulnerabilità viene comunemente presa di mira dagli hacker che cercano di infiltrarsi in un terminal server, per poi rubare dati oppure altre informazioni vitali.

In caso sia presente questa vulnerabilità infatti, gli hacker potrebbero operare nel sistema attraverso attacchi remoti, eseguendo poi un codice arbitrario attraverso un font speciale creato ad hoc. Il metodo per contrastare questa vulnerabilità è quella di richiedere al più presto possibile l'aggiornamento della versione 2008.

In alternativa, è possibile controllare periodicamente la memoria grafica con determinati software, in modo da controllare la sicurezza offre ed identificare sul nascere eventuali differenze.

2. Vulnerabilità dovuta a toolbar gratuite
Questa vulnerabilità è stata spesso riscontrata per server Windows 2008, ma bisogna prestare attenzione anche in caso si possedessero versioni superiori. Spesso ci si ritrova ad installare toolbar di diverso genere sul proprio browser. Addirittura queste a volte vengono inserite in pacchetti speciali che si attivano durante l'installazione di software riconosciuti a livello internazionale. In ogni caso, è sempre bene controllare la provenienza e le origini delle toolbar. Il consiglio è quello di disinstallarle se non se ne fa un largo uso.

Oltre a portare virus oppure malware, le toolbar potrebbero essere un punto d'accesso per gli attacchi remoti di hacker malintenzionati, specialmente se si utilizza una connessione di tipo RDP.
Gli hacker possono sviluppare i loro attacchi facendo leva sulla vulnerabilità identificata con codice CVE-2015-2515. Gli attacchi vengono iniziati attraverso una speciale toolbar craftata ed una volta andati a segno, gli hacker hanno via libera per intrufolarsi nella rete remota e rubare dati sensibili oppure molto importanti.
Infine, per evitare questo problema è bene controllare che la toolbar sia stata rimossa dal proprio browser ed inoltre sia stata anche disinstallata con successo dal proprio computer.

3. Vulnerabilità dell'autenticazione Smart Card
Una delle moderne vulnerabilità dei terminal server di Windows, nonché una delle più pericolose e temute. Questa vulnerabilità è stata da poco scoperta dagli esperti tecnici di Microsoft che hanno provveduto ad etichettarla con il codice CVE-2017-0176. Questa vulnerabilità presenta un codice di esecuzione nel Remote Desktop Control, comunemente abbreviato RDP, se nel terminal server RDP è presente un sistema di autenticazione per eventuali smart card.

Un hacker esperto che attacca il sistema ed è capace di creare un exploit con esso, può davvero causare diversi danni, venendo in possesso del codice esecutivo del server.
A quel punto poi, l'hacker riceverà privilegi esclusivi che gli permetteranno di installare oppure cancellare file a piacimento, cambiare e copiare dati preziosi ed addirittura creare nuovi account con pieni diritti di amministrazione. L'unica soluzione per contrastare la vulnerabilità ed eliminarla totalmente dai propri server è quella di installare la specifica patch creata dall'equipe di esperti di Windows.

4. Vulnerabilità codice remoto HTTP.sys
Questa vulnerabilità è stata identificata con il codice CVE-2015-1635 e riguarda l'utilizzo del file con denominazione HTTP.sys.
Questa vulnerabilità può manifestarsi sia con terminal server eseguiti con Windows server 2008 sia con versioni successive, come ad esempio Windows server Gold 2012. HTTP.sys è un driver comunemente utilizzato da Windows, che in genere funziona correttamente e non crea problemi oppure difetti di alcun genere.

Tuttavia, è stata scoperta una vulnerabilità critica per quanto riguarda questo piccolo ed apparentemente innocuo programma implementato nel sistema. Un file di questo genere infatti, può essere stato infettato precedentemente da hacker intenzionati ad attaccare ed impossessarsi di un terminal server che usufruisce di connessione RDP.
Gli attacchi possono essere effettuati dagli hacker attraverso un codice arbitrario che viene poi fatto passare come richiesta criptata HTTP.
Per risolvere questo problema, il consiglio è quello di verificare con attenzione qualsiasi richiesta arrivi per HTTP. Con un po' di cautela ed attenzione in più è possibile scovare eventuali attacchi nascosti e combattere efficacemente questa fastidiosa vulnerabilità.

5. Vulnerabilità dovuta a file DLL infetti presenti nella directory
La vulnerabilità identificata con codice CVE-2015-2473 è forse una delle più famose e conosciute dagli utenti che utilizzano terminal server Windows. Infatti, un percorso non verificato presente nel client del server, può permettere agli hacker di intrufolarsi nella rete ed ottenere privilegi elitari di sistema.

Ciò è possibile perché gli hacker oppure chi attacca il sistema utilizzano un malware Trojan mascherato da file DLL che si annida nella directory principale del server. Infatti, se qualcuno ha già sfruttato questa vulnerabilità per introdursi nei propri server, si troverà nella directory di quest'ultimi un file targato .
RDP. Questo file è una prova certa del fatto che qualcuno ha compiuto un exploit sfruttando la vulnerabilità del sistema. In questo caso, la soluzione è quella di cancellare definitivamente il file e fare una scansione anti-virus al più presto. Inoltre, per restare al sicuro occorre effettuare un refresh del sistema, utilizzando tool appropriati che verifichino lo stato reale del computer, in modo da essere certi della totale protezione del sistema.

Facebooktwitterredditpinterestlinkedinmailby feather

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Su questo sito web utilizziamo strumenti di prima o di terze parti che memorizzano piccoli file (cookie) sul vostro dispositivo. I cookie sono normalmente utilizzati per consentire il corretto funzionamento del sito (cookie tecnici), per generare report di navigazione (cookie statistici) e per pubblicizzare adeguatamente i nostri servizi/prodotti (cookie di profilazione). Possiamo utilizzare direttamente i cookie tecnici, ma avete il diritto di scegliere se abilitare o meno i cookie statistici e di profilazione. Abilitando questi cookie, ci aiuterete ad offrirvi un’esperienza migliore. Cookie policy