Remote Desktop Protocol: rischi per i professionisti IT

Scopri come il Remote Desktop Protocol può essere usato contro i professionisti IT e le migliori pratiche per proteggere i sistemi aziendali.

Nel panorama informatico moderno, il Remote Desktop Protocol (RDP) è diventato uno strumento essenziale per amministratori di sistema e professionisti IT. Grazie ad esso, è possibile gestire da remoto server e macchine aziendali, garantendo operatività e assistenza senza la necessità di un accesso fisico. Questa comodità, tuttavia, porta con sé un prezzo da pagare.

Cos’è il Remote Desktop Protocol (RDP)?
Le vulnerabilità di RDP
Attacchi informatici basati su RDP
Best practices per la salvaguardia di RDP

RDP è uno degli entry point più sfruttati dai cybercriminali, che lo utilizzano per infiltrarsi nelle reti aziendali, lanciare attacchi ransomware e muoversi lateralmente all’interno dell’infrastruttura. Non è un caso che questa tecnologia sia spesso bersaglio di attacchi brute force, exploit di vulnerabilità zero-day e tecniche di session hijacking.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è il Remote Desktop Protocol (RDP)?

Quando si parla di Remote Desktop Protocol (RDP), si fa riferimento a un protocollo proprietario sviluppato da Microsoft. Questo consente agli utenti di connettersi e controllare un computer da remoto per mezzo di un’interfaccia grafica. RDP utilizza di default la porta 3389 TCP/UDP per stabilire la comunicazione tra client e server, trasmettendo in tempo reale sia l’input utente, che l’output visivo.
Si tratta di uno strumento estremamente efficiente, che permette di operare su macchine remote come se si fosse fisicamente presenti. In più, RDP supporta nativamente il trasferimento di file, la stampa remota e la condivisione degli appunti.

Come anticipato, il protocollo RDP basa il suo intero funzionamento su un’architettura di tipo client-server, in cui il client avvia una sessione remota con un server che ospita il servizio di desktop remoto. Il protocollo impiega l’algortimo di compressione Run-Length Encoding (RLE) per ottimizzare le prestazioni, in congiunzione con i protocolli TLS e CredSSP per garantire la sicurezza della trasmissione dei dati. Inoltre, RDP offre funzionalità di sicurezza avanzate, tra cui l’autenticazione multi-fattore (MFA), il Network Level Authentication (NLA) e il reindirizzamento di dispositivi USB. Questi elementi ne fanno uno strumento essenziale sia in ambito aziendale, che in ambienti cloud e virtualizzati.

Tuttavia, la sua ampia diffusione e il ruolo critico che ricopre nei contesti aziendali, lo rendono un obiettivo privilegiato per gli attaccanti. Se configurato in modo inadeguato o privo di misure di protezione efficaci, può divenire un entry point estremamente vulnerabile. Per questo motivo è fondamentale analizzare le sue vulnerabilità e comprendere come possono essere sfruttate da attori malevoli.

Le vulnerabilità di RDP

Nonostante sia una risorsa essenziale per i professionisti IT, il protocollo RDP presenta diverse vulnerabilità che, se sfruttate, possono compromettere gravemente la sicurezza aziendale. Uno dei problemi principali è l’uso di versioni obsolete, in particolare quelle precedenti alla 8.0, che non supportano TLS 1.2 (Transport Layer Security) e si affidano a protocolli crittografici ormai considerati non sicuri (SSL 3.0 e TLS 1.0). Questo espone il traffico RDP al rischio di intercettazioni, permettendo agli attaccanti di catturare credenziali e dati trasmessi in chiaro.

A ciò si aggiunge la vulnerabilità legata alla gestione delle credenziali. Prima dell’avvento di Windows Server 2008, l’autenticazione RDP avveniva solo dopo l’inizio della sessione, esponendo i sistemi ad attacchi brute force ancor prima che l’utente effettivo potesse autenticarsi. L’assenza di misure efficaci, come l’autenticazione multi-fattore (MFA), continua a rendere gli accessi remoti un bersaglio privilegiato per gli attori malevoli, i quali sfruttano dizionari di password e tecniche di credential stuffing per ottenere accessi non autorizzati.

Un altro problema diffuso riguarda l’esposizione diretta di RDP su internet senza adeguate misure di protezione. I sistemi che mantengono aperta pubblicamente la porta predefinita 3389 diventano bersagli facili, non solo per attacchi brute force, ma anche per exploit zero-day e vulnerabilità note. Senza firewall, VPN o restrizioni sugli indirizzi IP, un server RDP esposto diviene un entry point critico, che facilita movimenti laterali all’interno della rete aziendale e aumenta il rischio di compromissioni su larga scala.

Attacchi informatici basati su RDP

Come abbiamo avuto modo di vedere, l’accesso remoto compromesso viene utilizzato come punto di ingresso per movimenti laterali nella rete aziendale. Ciò permette la diffusione di ransomware o l’installazione di malware persistenti. Una volta ottenuto il controllo di una macchina, i cybercriminali possono criptare file sensibili e ricattare le vittime con richieste di riscatto.

Alla luce di questa doverosa premessa, procediamo ad analizzare le principali categorie di attacchi perpetrati contro il Remote Desktop Protocol.

Brute force e credenziali compromesse

Il brute force è senza dubbio il mezzo più semplice ed efficace per compromettere un server RDP. Gli attaccanti utilizzano strumenti automatici come Hydra, NLBrute, o RDP Brute per testare migliaia di combinazioni di username e password, fino a individuarne una valida. C’è da dire che questo approccio trial and error, non è l’unico. Infatti, molte credenziali in loro possesso sono solitamente sottratte a seguito di un data breach e rivendute nei black market del dark web. Ciò permette l’accesso diretto al server ai cybercriminali, senza che questi debbano forzare alcuna password. Una volta ottenuto l’accesso, l’attaccante può eseguire comandi con i permessi dell’utente compromesso, rubare dati e anche installare malware.

Un esempio di comando Hydra è il seguente:

hydra -L userlist.txt -P passlist.txt rdp://192.168.1.100 -t 4

Scendendo nello specifico, questo comando esegue un attacco brute force su un server RDP all’indirizzo IP 192.168.1.100, utilizzando un file con username e password precompilati. Il parametro -t 4 indica il numero di thread utilizzati in fase di attacco.

Exploit di vulnerabilità note (CVE)

Nonostante Microsoft abbia corretto numerose falle critiche nel suo protocollo, molte organizzazioni non aggiornano tempestivamente i propri sistemi. Un esempio di questo genere è CVE-2019-0708, meglio conosciuta come BlueKeep. Si tratta di una vulnerabilità che consente l’esecuzione di codice remoto senza autenticazione, facilitando l’accesso non autorizzato e la diffusione di malware.

Attraverso l’impiego del sempreverde Metasploit, gli attaccanti possono individuare e sfruttare queste falle a loro vantaggio. Un esempio di exploit creato ad hoc per sfruttare BlueKeep, è il seguente:

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS 192.168.1.100
exploit

Se il sistema è vulnerabile, l’attaccante ottiene l’accesso con privilegi elevati e può muoversi lateralmente nella rete. Ciò si traduce nella possibilità di installare backdoor in altri sistemi presenti al suo interno e spianare la strada ad attacchi futuri.

Session Hijacking

Un’altra tecnica ampiamente impiegata per violare il protocollo RDP è il Session Hijacking. Questa consente agli attaccanti di dirottare una sessione RDP attiva, prendendone il controllo senza bisogno di autenticarsi nuovamente. Solitamente, i cybercriminali l’attuano sfruttando debolezze nei protocolli di autenticazione, o impossessandosi dei token di sessione attraverso il ben noto Mimikatz. Attraverso un suo comando specifico, è possibile realizzare in maniera estremamente efficace un Session Hijacking.
Un esempio del genere è il seguente:

mimikatz.exe “sekurlsa::logonpasswords”

Se eseguito con privilegi adeguati, questo comando mostra le credenziali in chiaro, permettendo agli attaccanti di impersonare utenti legittimi ed espandere la compromissione.

Man-in-the-Middle

Un altro attacco sferrato contro RDP è il Man-in-the-Middle (MitM). In questo caso, l’attaccante si interpone tra il client e il server, intercettando e manipolando il traffico. Questo attacco è molto comune in presenza di reti Wi-Fi pubbliche non protette, o attraverso la compromissione dei dispositivi di rete aziendali. Per realizzarlo, un cybercriminale fa solitamente ricorso a Ettercap, uno strumento che consente di effettuare attacchi ARP Spoofing per deviare il traffico di rete.
Un esempio di comando per avviare un attacco MitM su una rete locale è il seguente:

ettercap -Tq -M arp:remote /192.168.1.100/ /192.168.1.200/

Analizzando l’esempio, l’attaccante si posiziona tra il client RDP (192.168.1.100) e il server (192.168.1.200), intercettando tutto il traffico scambiato. Se la connessione non utilizza crittografia adeguata, l’attaccante è in grado di carpire le credenziali di accesso o iniettare comandi malevoli nella sessione remota.

Il Man-in-the-Middle è particolarmente pericoloso in ambienti aziendali, dove gli amministratori IT utilizzano RDP per gestire server critici. Un attaccante che riesce a intercettare le credenziali di un amministratore, ottiene accesso completo alla rete aziendale. Come si può facilmente intuire, le conseguenze sono a dir poco devastanti, poiché si spazia dal furto di dati, alla creazione di backdoor persistenti.

Best practices per la salvaguardia del protocollo RDP

Considerata la sua importanza per i professionisti IT, il protocollo RDP deve essere protetto con le migliori pratiche di sicurezza. Una configurazione inadeguata o misure di protezione carenti possono renderlo un facile bersaglio per gli attaccanti.
Di seguito sono riportate alcune soluzioni fondamentali per aziende, organizzazioni e privati, volte a ridurre al minimo i rischi di compromissione.

Utilizzare password forti e univoche.
L’impiego di credenziali lunghe, complesse e uniche per ogni account riduce significativamente il rischio di compromissione. Le password deboli restano uno dei vettori di attacco più sfruttati dai cybercriminali.
Abilitare l’autenticazione multi-fattore (MFA).
Poiché RDP supporta nativamente l’MFA, la sua attivazione è essenziale. Questo livello di protezione aggiuntivo impedisce accessi non autorizzati, anche nel caso in cui le credenziali vengano compromesse.
Limitare gli accessi tramite IP.
La configurazione di firewall e VPN consente di restringere l’accesso RDP solo a specifici indirizzi IP fidati, riducendo drasticamente l’esposizione agli attacchi provenienti dall’esterno.
Disabilitare RDP laddove non necessario.
Se il protocollo non è indispensabile, è consigliabile disattivarlo per eliminare un potenziale punto di ingresso per gli attaccanti.
Mantenere sempre aggiornati i propri sistemi.
Poiché molte minacce sfruttano vulnerabilità note di RDP, è fondamentale applicare tempestivamente patch e aggiornamenti di sicurezza per mitigare i rischi.
Monitorare costantemente gli accessi RDP.
L’adozione di strumenti di monitoraggio permette di rilevare tempestivamente tentativi di brute force o connessioni sospette. Un’attenta analisi dei log consente di intervenire prontamente in caso di attività anomale.

In conclusione

In base a quanto discusso in questo articolo, si è compreso che il Remote Desktop Protocol rappresenta una risorsa imprescindibile per i professionisti IT. Tuttavia, la sua errata configurazione o il mancato aggiornamento, lo trasformano in un’arma a doppio taglio per aziende e organizzazioni. Le sue vulnerabilità, se non mitigate, si traducono in conseguenze a dir poco catastrofiche per chi fa del cloud e della protezione dei dati il proprio business.

Ecco perché si torna a ripetere che è fondamentale proteggere l’accesso remoto con misure efficaci. VPN, firewall, autenticazione multi-fattoriale e restrizioni sugli accessi, sono solo alcuni dei metodi per mettersi al sicuro. Solo mantenendo RDP sotto controllo e sempre aggiornato si può evitare di esporre l’infrastruttura aziendale a minacce sempre più sofisticate.

La nostra arma più forte è la consapevolezza. Scoprire vulnerabilità gravi presenti nella propria infrastruttura, permette di anticipare le mosse dei cybercriminali. Finché non saremo in grado di mettere in pratica tutte queste soluzioni, allora non saremo in grado di proteggere ciò che abbiamo di più prezioso in questo millennio: la nostra identità digitale.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.