523

Ricercatori della Preempt Security hanno individuato una vulnerabilità che interessa il CredSPP ovvero la Credential Security Support Provider utilizzata da RDP (Remote Desktop Management) e WinRM (Windows Remote Management), vediamone i dettagli. 

CredSPP: cos’è e da chi è usato

Il CredSPP si occupa della trasmissione crittografata dei dati di autenticazione dal client verso il server ed è usato, come si può ben immaginare, quando si avvia una connessione desktop remota (RDP) o quando si avvia il Windows Remote Management, utilizzato in ambito server. 

Come può avvenire l’attacco

L’attacco utilizzabile in questo contesto è di tipo Man-In-The-Middle (via LAN o WI-Fi) ed utilizza nello specifico una vulnerabilità di tipo logico nella crittografia dei dati, potendo quindi rubare le informazioni relative la sessione di autenticazione e procedere con un attacco di tipo Remote Procedure Call. 

Di seguito un video dimostrativo:

Microsoft è stata informata del problema 7 mesi fa ed ha rilasciato solo oggi un aggiornamento dedicato a correggere questo problema, quindi consigliamo a tutti (in particolare se in ambito aziendale) di pianificare l’installazione e l’aggiornamento dei propri dispositivi.

Oltre a questo, per mitigare il problema, è utile ridurre gli account con privilegi elevati in questi ambiti e invece impostare account con privilegi ridotti. 

Fonte ed approfondimento: Security Advisory: Critical Vulnerability in CredSSP Allows Remote Code Execution on Servers Through MS-RDP (Video)