Scoperta vulnerabilità nel CredSPP che interessa tutte le versioni di Windows

Scoperta vulnerabilità nel CredSPP che interessa tutte le versioni di Windows

Ricercatori della Preempt Security hanno individuato una vulnerabilità che interessa il CredSPP ovvero la Credential Security Support Provider utilizzata da RDP (Remote Desktop Management) e WinRM (Windows Remote Management), vediamone i dettagli. 

CredSPP: cos’è e da chi è usato

Il CredSPP si occupa della trasmissione crittografata dei dati di autenticazione dal client verso il server ed è usato, come si può ben immaginare, quando si avvia una connessione desktop remota (RDP) o quando si avvia il Windows Remote Management, utilizzato in ambito server. 

Come può avvenire l’attacco

L’attacco utilizzabile in questo contesto è di tipo Man-In-The-Middle (via LAN o WI-Fi) ed utilizza nello specifico una vulnerabilità di tipo logico nella crittografia dei dati, potendo quindi rubare le informazioni relative la sessione di autenticazione e procedere con un attacco di tipo Remote Procedure Call

Di seguito un video dimostrativo:

Microsoft è stata informata del problema 7 mesi fa ed ha rilasciato solo oggi un aggiornamento dedicato a correggere questo problema, quindi consigliamo a tutti (in particolare se in ambito aziendale) di pianificare l’installazione e l’aggiornamento dei propri dispositivi.

Oltre a questo, per mitigare il problema, è utile ridurre gli account con privilegi elevati in questi ambiti e invece impostare account con privilegi ridotti. 

Fonte ed approfondimento: Security Advisory: Critical Vulnerability in CredSSP Allows Remote Code Execution on Servers Through MS-RDP (Video)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *