RDPuzzle: così i cybercriminali possono ricostruire la tua attività sul PC

Redazione RHC : 31 Gennaio 2025 07:33

Gli esperti di sicurezza informatica hanno scoperto un nuovo exploit che sfrutta il protocollo RDP (Remote Desktop Protocol). Questa vulnerabilità consente agli aggressori di ottenere un controllo non autorizzato sui sistemi Windows e di dirottare l’attività del browser, rappresentando una minaccia significativa per la sicurezza dei dati individuali e aziendali.

RDPuzzle: Analisi della vulnerabilità sfruttata

L’exploit nasce dalla gestione e dall’archiviazione improprie dei file di cache bitmap RDP, progettati per migliorare le prestazioni durante le sessioni desktop remote. Questi file memorizzano frammenti di attività sullo schermo, come elementi grafici e dati dello schermo, sul computer locale del client.

Sebbene pensata per l’ottimizzazione delle prestazioni, questa funzionalità è stata ora sfruttata da malintenzionati per ottenere informazioni sulle sessioni attive di Windows e sulle attività di navigazione web.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Analizzando i file di cache bitmap memorizzati sulla macchina che ha avviato l’attacco, gli aggressori possono ricostruire parti della schermata della sessione remota.

La memorizzazione nella cache persistente delle immagini bitmap è abilitata per impostazione predefinita in mstsc.exe Ciò include la registrazione di applicazioni aperte, comandi eseguiti, sessioni private del browser e attività sensibili dell’utente, come l’accesso alle pagine di login o il download di file.

Con strumenti aggiuntivi, come BMC-Tools (sviluppato dall’agenzia francese per la sicurezza informatica ANSSI) e RdpCacheStitcher, gli aggressori possono ricomporre i frammenti grafici e ricavarne informazioni fruibili. I ricercatori che hanno esplorato questo exploit lo hanno paragonato a un “guardare virtualmente alle spalle” dell’utente bersaglio. In un esempio reale, gli aggressori hanno ricostruito con successo i frame di sessione RDP per visualizzare:

• Comandi del terminale eseguiti dall’utente, come certutil.exe, utilizzati per scaricare script dannosi.
• Sessioni private del browser, comprese pagine di accesso e credenziali sensibili.
• Attività del file system, come la copia di file come “svchost.exe” nelle directory locali.

Questo livello di informazioni non solo compromette la privacy degli utenti, ma fornisce anche agli aggressori informazioni dettagliate per aumentare i propri privilegi e rafforzare la propria posizione nelle reti compromesse.

Come funziona l’Exploit

L’exploit è particolarmente pericoloso per le organizzazioni. Gli amministratori che utilizzano RDP per gestire più macchine creano un’ampia rete di connessioni sensibili, tutte vulnerabili se un aggressore ottiene l’accesso alla macchina che le ha avviate.

In un caso, gli aggressori hanno utilizzato questo exploit per colpire i fornitori di servizi che gestivano da remoto i sistemi dei clienti, diffondendo malware ed esfiltrando credenziali sensibili. Sebbene anche gli utenti comuni siano a rischio, l’impatto maggiore si riscontra negli ambienti aziendali in cui RDP è essenziale per le operazioni IT.

I malintenzionati possono utilizzare i dati ricostruiti per condurre attacchi di phishing, diffondere ransomware o semplicemente monitorare attività sensibili senza renderle tracciabili. Per mitigare i rischi posti da questo exploit, gli esperti di sicurezza informatica raccomandano le seguenti misure:

1. Disattiva la memorizzazione nella cache persistente dei bitmap:  i client RDP (come mstsc.exe) consentono agli utenti di disattivare la memorizzazione nella cache delle immagini bitmap, riducendo al minimo l’esposizione dei dati della sessione.
2. Rafforzare la sicurezza della rete:  utilizzare reti private virtuali (VPN) e firewall robusti per proteggere le connessioni RDP da minacce esterne.
3. Monitoraggio delle sessioni RDP:  registrare e monitorare le sessioni RDP per rilevare attività sospette, tra cui connessioni in uscita o spostamenti di file imprevisti.
4. Limita i privilegi:  implementa il principio del privilegio minimo per limitare l’utilizzo non necessario di RDP.
5. Applica aggiornamenti:  aggiorna regolarmente i sistemi Windows e le patch di sicurezza per impedire lo sfruttamento delle vulnerabilità note.

Poiché le organizzazioni si stanno sempre più orientando verso modelli di lavoro da remoto e ibridi, la protezione delle connessioni RDP deve rimanere una priorità assoluta. Gli esperti avvertono che la mancata risoluzione tempestiva di queste vulnerabilità potrebbe esacerbare i danni derivanti da futuri attacchi informatici.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli