La tecnica di RDP hijacking rappresenta uno dei metodi preferiti dai criminal hacker e quindi uno dei più diffusi per portare avanti attacchi contro reti e infrastrutture di aziende ed enti governativi; stiamo parlando dello sfruttamento dell’RDP o Remote Desktop Protocol.
Questo protocollo rappresenta, normalmente, un comodo metodo per IT Manager o help desk per accedere a sistemi e macchine da remoto: sistema ancora più cruciale in periodi di lockdown o comunque di ridotta presenza della forza lavoro in sede.
Ma questo sistema, dall’altro lato, rappresenta anche un’opportunità incredibile, una volta compromesso, per i criminal hacker di andare a colpire i propri bersagli.
L’attacco viene portato avanti iniziando la “ripresa” da parte dell’aggressore di una sessione RDP precedentemente scollegata. Ciò gli consente di entrare in un sistema senza dover rubare le credenziali dell’utente.
Per esempio, se un amministratore si è trasferito qualche giorno prima su una macchina Windows Server, è molto più facile per l’aggressore “riprendere” questa stessa sessione, piuttosto che tentare di ottenere la password dell’account dell’amministratore tramite il social engineering.
Una volta entrato nel sistema, il criminal hacker può ottenere un movimento laterale attraverso la rete aziendale senza essere individuato, perché di fatto la sua attività ai sistemi di monitoraggio non risulterà mai sospetta.
Indice degli argomenti
Attacco RDP hijacking: quali rischi?
L’RDP Hijacking non rappresenta, comunque, nulla di nuovo. Non si tratta neppure di una vulnerabilità, ma piuttosto di una “tecnica”, ormai usata da molti anni che fa leva su una caratteristica legittima del servizio RDP di Windows.
Ci sono diversi modi per riprendere il controllo di una sessione RDP. La tecnica è stata originariamente scoperta nel 2011 da Benjamin Delpy, l’autore del famoso strumento di penetration test mimikatz.
Oggi la tecnica “più in voga” fa leva sulla utility di windows Tscon.exe. In condizioni di normale utilizzo, questa permette a un utente di cambiare da una sessione RDP all’altra.
Per esempio, lanciando il comando tscon2 su un server Windows con attiva una sessione di RDP, si viene connessi automaticamente alla sessione con l’ID 2 e disconnessi da qualsiasi altra.
Questo passaggio, però, lascia aperta una falla. Utilizzando questo comando, inftti, la sessione precedente su cui si stava lavorando viene lasciata sbloccata. È questo il punto debole su cui fanno leva i criminal hacker.
Per prendere il controllo di questa sessione, ovviamente, è comunque richiesto che gli aggressori abbiano acquisito già un certo livello di accesso al sistema.
Ecco perché, nella maggior parte dei casi, dietro un attacco di tipo RDP hijacking potrebbe esserci un insider, ma anche un criminal hacker che ha compromesso i sistemi con un keylogger o qualsiasi altro malware.
Qualsiasi sia il metodo, una volta compromesso il sistema, l’aggressore può sfruttare questa tecnica RDP per raggiungere le sessioni e gli ambienti di altri utenti, senza richiedere alcuna password.
Fatto questo, le possibilità di causare danni sono elevatissime.
Supponiamo che l’aggressore si connetta al server RDP e sia in grado di vedere tutti gli utenti RDP connessi semplicemente eseguendo il comando query user.
L’aggressore può quindi eseguire i seguenti comandi nel prompt:
sc create hijackedsession binpath= “cmd.exe /k tscon 1 /dest:rdp-tcp#2”
net start hijackedsession
In questo modo, si scollega la sessione corrente dell’aggressore (ID 2) e si “riprende” la sessione 1 precedentemente scollegata tra l’aggressore e il server RDP senza chiedere una password (che è stata utilizzata dal client 2) o lasciare una traccia forense.
Ciò è dovuto al fatto che l’utente precedentemente presente al client 2 può aver scollegato la propria sessione RDP, ma non si è esplicitamente scollegato dal server.
Come difendersi da questo attacco
A causa della natura stessa del protocollo RDP e del comportamento utilizzato in questa tecnica, il monitoraggio è difficile perché, per gli strumenti forensi, l’attività sembra in tutto e per tutto speculare a quella di un utente legittimo e autorizzato che accede al sistema.
La tecnica, vecchia di decenni, continua ad avere un impatto su quasi tutte le versioni di Windows Server, per cui il consiglio di passare ad una diversa versione del sistema operativo Windows non è molto efficace.
Le tecniche di prevenzione consigliate per prevenire l’RDP hijacking sono:
- group policy: le impostazioni della group policy dovrebbero essere modificate per disconnettere gli utenti istantaneamente o poco dopo che hanno disconnesso una sessione RDP. In questo modo si eviterà che un aggressore possa semplicemente “riprendere” una sessione senza credenziali;
- limitare i servizi esposti in rete: non ha senso esporre in modo palese i servizi e le porte RDP a Internet. Tuttavia, limitare in maniera draconiana l’RDP ostacola pesantemente il suo stesso scopo: l’amministrazione a distanza. Utilizzare il Microsoft Remote Desktop Gateway o Azure Multi-Factor Authentication Server, se si desidera l’accesso via internet, può essere la soluzione già per garantire il giusto grado di resilienza.
Ignorare tali consigli può portare a conseguenze devastanti.
Se stai esponendo RDP direttamente a Internet e qualcuno crea un utente locale o gli utenti del tuo dominio hanno credenziali facili da indovinare o riutilizzate, sei automaticamente nel mirino dei criminal hacker.
L’ondata di attacchi tramite BlueeKeep dovrebbe già essere un monito più che sufficiente.
