CVE-2019-0708 – Vulnerabilità legata all’esecuzione di codice in modalità remota in Servizi Desktop remoto

da | Mag 18, 2019

Microsoft ha rilasciato correzioni per una vulnerabilità critica di Remote Code Execution, CVE-2019-0708, in Servizi Desktop remoto che influisce su alcune versioni precedenti di Windows.

Il Remote Desktop Protocol (RDP) non è vulnerabile. Questa vulnerabilità è pre-autenticazione e non richiede l’interazione dell’utente.

In altre parole, la vulnerabilità è ‘wormable’, il che significa che qualsiasi malware futuro che sfrutta questa vulnerabilità potrebbe propagarsi dal computer vulnerabile al computer vulnerabile in un modo simile a quello del malware WannaCry diffuso in tutto il mondo nel 2017.

Mentre non abbiamo osservato nessuno sfruttamento di questa vulnerabilità, è altamente probabile che gli attori malintenzionati scriveranno un exploit per questa vulnerabilità e lo incorporeranno nel loro malware.

Questa vulnerabilità è pre-autenticazione e non richiede l’interazione dell’utente.
Un utente malintenzionato in grado di sfruttare questa vulnerabilità può eseguire codice arbitrario sul sistema di destinazione.
Un utente malintenzionato potrebbe quindi installare programmi; visualizzare, modificare o eliminare dati; o creare nuovi account con diritti utente completi.

Sistemi operativi interessato: Windows XP, Windows 7, Windows Server 2003, Windows Server 2008 R2 e Windows Server 2008

SOLUZIONI DA IMPLEMENTARE

Per chiudere la falla bisogna seguire scrupolosamente i tre step elencati di seguito:

1) Verificare se è installata la patch di sicurezza scaricabile dal sito Microsoft.

Per i sistemi Windows 7 e Windows Server 2008 utilizzare il seguente link:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Per i sistemi Windows XP e Window Server 2003 utilizzare il seguente link:

https://support.microsoft.com/it-it/help/4500705/customer-guidance-for-cve-2019-0708

ATTENZIONE: scaricare ed installare la patch in base al Sistema Operativo, alla lingua e all’Architettura.

2) Se possibile disattivare la porta RDP 3389 sui PC/Server se non utilizzata.

3) Per tutti i PC e Server in dominio creare la seguente policy tramite le GPO

Aprire lo snapin delle GPO e posizionarsi nel seguenate path:

Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security oppure Configurazione Computer\Criteri\Modelli Amministrativi\Componenti di Windows\Servizi Desktop RemotoHost Sessione di Desktop Remoto\Sicurezza

Selezionare e fare doppio click sull’impostazione Require user authentication for remote connections by using Network Level Authentication oppure Richiedi Autenticazione Utente tramite autenticazione a livello di rete per le connessioni remote

Attivare l’Impostazione quindi cliccare su OK

Nel riepilogo dovremmo vedere l’impostazione abilitata come mostrato nell’immagine sovrastante

Se è tutto corretto nel riepilogo generale dovremmo vedere una schermata come quella sovrastante

A questo punto linkiamo la policy alle OU dei PC e dei Server interessati ed il gioco è fatto.

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Infrastrutture IT
  • ACT For Cange  Mental Coach
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore Collaboratore

Related Post

0 commenti

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione