Ricercatori della Preempt Security hanno individuato una vulnerabilità che interessa il CredSPP ovvero la Credential Security Support Provider utilizzata da RDP (Remote Desktop Management) e WinRM (Windows Remote Management), vediamone i dettagli.
CredSPP: cos’è e da chi è usato
Il CredSPP si occupa della trasmissione crittografata dei dati di autenticazione dal client verso il server ed è usato, come si può ben immaginare, quando si avvia una connessione desktop remota (RDP) o quando si avvia il Windows Remote Management, utilizzato in ambito server.
Come può avvenire l’attacco
L’attacco utilizzabile in questo contesto è di tipo Man-In-The-Middle (via LAN o WI-Fi) ed utilizza nello specifico una vulnerabilità di tipo logico nella crittografia dei dati, potendo quindi rubare le informazioni relative la sessione di autenticazione e procedere con un attacco di tipo Remote Procedure Call.
Di seguito un video dimostrativo:
Microsoft è stata informata del problema 7 mesi fa ed ha rilasciato solo oggi un aggiornamento dedicato a correggere questo problema, quindi consigliamo a tutti (in particolare se in ambito aziendale) di pianificare l’installazione e l’aggiornamento dei propri dispositivi.
Oltre a questo, per mitigare il problema, è utile ridurre gli account con privilegi elevati in questi ambiti e invece impostare account con privilegi ridotti.
Fonte ed approfondimento: Security Advisory: Critical Vulnerability in CredSSP Allows Remote Code Execution on Servers Through MS-RDP (Video)