Che cos'è l'exploit RDP?

Luglio 22, 2025

Un exploit RDP è un tipo di attacco informatico che prende di mira le vulnerabilità del Remote Desktop Protocol (RDP), una tecnologia Microsoft utilizzata per accedere e controllare i computer da remoto.

cos'è l'exploit RDP

Che cos'è l'exploit RDP?

Un exploit RDP è una vulnerabilità di sicurezza o un metodo di attacco che prende di mira le debolezze nel Remote Desktop Protocollo, protocollo proprietario sviluppato da Microsoft per consentire agli utenti di connettersi e controllare un computer remoto tramite una rete.

Questi exploit sfruttano i difetti nel modo in cui il protocollo gestisce autenticazione, gestione delle sessioni, o trasmissione dati, consentendo agli aggressori di ottenere accesso non autorizzato ai sistemi senza le credenziali appropriate, aumentare i privilegi o eseguire codice arbitrario sulla macchina di destinazione. Uno sfruttamento riuscito può portare alla compromissione completa del sistema, offrendo agli aggressori la possibilità di implementare il malware, esfiltrare dati o spostati lateralmente all'interno di una rete.

Gli exploit RDP vengono spesso sfruttati in attacchi mirati, ransomware operazioni e dagli attori della minaccia che cercano di ottenere l'accesso iniziale agli ambienti aziendali, in particolare quando i servizi RDP sono esposti alla rete Internet pubblica senza adeguati controlli di sicurezza.

Tipi di exploit RDP

Gli exploit RDP possono essere classificati in base al modo in cui colpiscono le debolezze del protocollo RDP o della sua implementazione. Di seguito sono riportate le tipologie principali:

  • Sfruttamenti di bypass dell'autenticazioneQuesti exploit sfruttano vulnerabilità che consentono agli aggressori di aggirare i meccanismi di autenticazione standard di RDP. Invece di fornire credenziali valide, gli aggressori sfruttano le falle per ottenere un accesso non autorizzato al sistema. Un esempio include lo sfruttamento di configurazioni deboli, come un'autenticazione a livello di rete (NLA) non adeguatamente protetta.
  • Exploit di esecuzione di codice remoto (RCE)Questi attacchi sfruttano vulnerabilità che consentono l'esecuzione remota di codice dannoso sul sistema di destinazione senza le autorizzazioni appropriate. Tra gli esempi figurano vulnerabilità note come BlueKeep (CVE-2019-0708), che potrebbe consentire agli aggressori di eseguire codice arbitrario su sistemi non aggiornati semplicemente inviando richieste RDP contraffatte.
  • L'uomo nel mezzo (MITM) attacchiIn questo tipo di exploit, gli aggressori intercettano le sessioni RDP tra il client e server Per acquisire credenziali, token di sessione o dati sensibili. In genere, ciò richiede che l'aggressore disponga già di accesso a livello di rete e della capacità di reindirizzare il traffico.
  • Raccolta di credenzialiGli aggressori sfruttano l'RDP catturando o rubando credenziali durante sessioni deboli o non adeguatamente protette. Le tecniche includono il keylogging, il memory scraping o lo sfruttamento di vulnerabilità che espongono le password. hash o informazioni sulla sessione.
  • Attacchi a forza bruta e a dizionarioSebbene non siano vulnerabilità tecniche, attacchi di forza bruta prendono di mira gli endpoint RDP esposti a Internet, tentando di indovinare nomi utente e password deboli o di uso comune fino a ottenere l'accesso. Questi attacchi sono spesso automatizzati e diffusi.
  • Sfruttamenti tramite client o gateway RDP di terze partiAlcuni exploit RDP prendono di mira vulnerabilità non nell'RDP di Microsoft stesso, ma in software di terze parti, come i gateway RDP, VPN soluzioni o client RDP alternativi che potrebbero introdurre ulteriori debolezze nella sicurezza.

Come funziona un exploit RDP?

Gli aggressori in genere iniziano identificando i sistemi con servizi RDP esposti, spesso tramite scansioni su Internet che prendono di mira la porta RDP predefinita (TCP 3389). Una volta individuato un obiettivo, l'aggressore analizza se il sistema è vulnerabile a exploit noti, come difetti nei processi di autenticazione, vulnerabilità di esecuzione di codice in modalità remota o configurazioni errate come credenziali deboli.

Se il bersaglio è vulnerabile, l'aggressore invia pacchetti di rete appositamente creati o richieste RDP dannose progettate per sfruttare la vulnerabilità. A seconda della natura dell'exploit, ciò può comportare l'aggiramento dell'autenticazione, l'attivazione di un difetto di danneggiamento della memoria o l'esecuzione di codice arbitrario sul computer remoto. Nei casi in cui l'autenticazione viene aggirata, l'aggressore ottiene l'accesso senza credenziali valide. Nel caso di vulnerabilità di esecuzione di codice remoto, l'aggressore potrebbe ottenere il pieno controllo del sistema con privilegi amministrativi, il che gli consente di installare malware, spostarsi lateralmente attraverso la rete o esfiltrare dati sensibili.

In alcuni scenari, gli aggressori utilizzano tecniche man-in-the-middle per intercettare e manipolare il traffico RDP o sfruttare credenziali rubate tramite attacchi brute-force, anziché sfruttare direttamente una vulnerabilità tecnica. Indipendentemente dal metodo utilizzato, l'obiettivo finale di un exploit RDP è in genere quello di ottenere l'accesso e il controllo non autorizzati del sistema di destinazione per scopi dannosi, come l'implementazione di ransomware, il furto di dati o la creazione di punti di appoggio persistenti all'interno della rete di un'organizzazione.

Esempi di exploit RDP

esempi di exploit rdp

Questi esempi evidenziano i rischi derivanti dall'esposizione dei servizi RDP senza un'adeguata applicazione di patch e controlli di sicurezza. Gli aggressori continuano a scansionare i sistemi alla ricerca di vulnerabilità a questi e simili exploit per ottenere l'accesso non autorizzato a fini di ransomware, spionaggio o infiltrazione nella rete.

BlueKeep (CVE-2019-0708)


Una delle vulnerabilità RDP più note, BlueKeep colpisce le versioni precedenti di Windows, come Windows 7 e Windows Server 2008. Consente l'esecuzione di codice remoto senza autenticazione inviando richieste appositamente predisposte a sistemi vulnerabili. Uno sfruttamento riuscito fornisce agli aggressori il pieno controllo sulla macchina presa di mira e può portare alla propagazione di malware su larga scala.

DejaBlue (CVE-2019-1181 / CVE-2019-1182)


Si tratta di una serie di vulnerabilità simili a BlueKeep ma che interessano le versioni più recenti di Windows, tra cui Windows 10 e Server 2019. DejaBlue consente inoltre ad aggressori non autenticati di eseguire codice in modalità remota sfruttando i difetti nel modo in cui RDP gestisce determinate richieste.

CVE-2012-0002


Questa vulnerabilità consente agli aggressori di sfruttare una falla nella gestione dei pacchetti RDP, causando il diniego di servizio o l'esecuzione di codice remoto sui sistemi interessati. Sebbene datata, è stata ampiamente sfruttata in attacchi prima del rilascio delle patch.

CVE-2020-0609 / CVE-2020-0610


Queste vulnerabilità prendono di mira il Gateway Desktop remoto di Windows, consentendo agli aggressori di eseguire codice arbitrario su vulnerabilità serversA differenza del tradizionale RDP, questi exploit non richiedono l'interazione dell'utente e possono essere attivati da remoto senza autenticazione.

Perché si verificano gli exploit RDP?

Gli exploit RDP si verificano a causa di una combinazione di vulnerabilità tecniche, scarse pratiche di sicurezza e l'elevato valore dell'accesso remoto per gli aggressori.

Il protocollo Desktop remoto è stato originariamente progettato per praticità e funzionalità, non per la sicurezza. Nel tempo, sono state scoperte vulnerabilità nella sua implementazione, che vanno da difetti di autenticazione a problemi di corruzione della memoria che consentono l'esecuzione di codice remoto.

Gli exploit spesso si verificano quando le organizzazioni non riescono ad applicare patch di sicurezza o lasciare RDP esposto direttamente a Internet senza adeguate misure di sicurezza come firewall, VPN o autenticazione a livello di rete (NLA). Configurazioni non sicure, password deboli o riutilizzate e la mancanza di monitoraggio contribuiscono a rendere l'RDP un bersaglio appetibile. Gli aggressori sfruttano queste debolezze perché una compromissione riuscita garantisce il pieno controllo remoto di un sistema, consentendo loro di distribuire malware, rubare dati o muoversi lateralmente all'interno di una rete.

In definitiva, gli exploit RDP persistono perché le organizzazioni danno priorità accesso remoto per la produttività trascurando le misure di sicurezza necessarie per difendersi da questi ben noti e attivamente sfruttati vettori di attacco.

Come rilevare gli exploit RDP?

come rilevare gli exploit RDP

Il rilevamento degli exploit RDP comporta il monitoraggio dell'attività di rete, del comportamento del sistema e dei log di sicurezza alla ricerca di indicatori di compromissione (IoC) e modelli sospetti comunemente associati ai tentativi di exploit. Il rilevamento si concentra in genere sull'identificazione di tentativi di accesso non autorizzati, modelli di utilizzo anomali e tecniche di exploit note.

Uno dei metodi più comuni è l'analisi Registri eventi di Windows, in particolare quelli relativi ai Servizi Desktop remoto, come tentativi di accesso non riusciti, tempi di accesso insoliti, connessioni da fonti inaspettate Gli indirizzi IPe accessi che bypassano i processi di autenticazione standard. Soluzioni di sicurezza come sistemi di rilevamento delle intrusioni (IDS) e gli strumenti di rilevamento e risposta degli endpoint (EDR) possono avvisare in caso di firme di exploit, comportamenti anomali delle sessioni o attività di escalation dei privilegi collegate all'abuso di RDP.

Il monitoraggio della rete può aiutare a rilevare anomalie come picchi improvvisi nel traffico RDP, tentativi di accesso a RDP da reti esterne o non attendibili e modelli di sfruttamento mirati TCP porta 3389. Inoltre, gli honeypot configurati con RDP possono attrarre e registrare tentativi di sfruttamento, fornendo un avviso tempestivo di attività dannose che prendono di mira un ambiente.

Il rilevamento di exploit RDP sofisticati spesso richiede la correlazione di più segnali, come accessi non riusciti, escalation dei privilegi, insoliti comportamento dell'utentee movimenti laterali sospetti, anziché affidarsi a un singolo indicatore.

Come proteggersi dagli exploit RDP?

La protezione dagli exploit RDP richiede una combinazione di controlli tecnici, best practice di configurazione e monitoraggio della sicurezza per ridurre l'esposizione e mitigare il rischio. Le strategie chiave includono:

  • Disabilitare RDP se non necessarioEliminare le superfici di attacco non necessarie disabilitando il protocollo Remote Desktop Protocol sui sistemi in cui non è necessario.
  • Limitare l'accesso con firewall e VPNNon esporre mai l'RDP direttamente alla rete Internet pubblica. Limita invece l'accesso tramite firewall a intervalli IP specifici o richiedi agli utenti di connettersi tramite VPN sicure.
  • Abilita l'autenticazione a livello di reteRichiedere NLA per garantire che l'autenticazione avvenga prima che venga stabilita una sessione RDP completa, riducendo l'esposizione a molti exploit comuni.
  • Applicare l'autenticazione forte. Utilizza password complesse e univoche e abilita autenticazione a più fattori (MFA) per tutte le connessioni RDP per prevenire attacchi basati sulle credenziali.
  • Mantenere i sistemi aggiornati. Applicare regolarmente gli aggiornamenti di sicurezza a sistemi operativi e servizi RDP per affrontare vulnerabilità note, come BlueKeep e DejaBlue.
  • Monitorare e registrare l'attività RDPMonitorare costantemente tentativi di accesso insoliti, connessioni da posizioni inaspettate e accessi non riusciti tramite la registrazione centralizzata e SIEM soluzioni.
  • Limita i privilegi dell'utente. Applicare il principio di minimo privilegio per limitare il livello di accesso concesso tramite connessioni RDP, riducendo al minimo i potenziali danni di una sessione compromessa.
  • Utilizzare gateway RDP. Distribuire Gateway Desktop remoto per fornire un punto di ingresso sicuro per le connessioni RDP, aggiungendo ulteriori livelli di autenticazione e ispezione.
  • Implementare politiche di blocco degli accountConfigurare soglie di blocco per i tentativi di accesso non riusciti per ridurre il rischio di attacchi brute-force.
  • Condurre valutazioni periodiche della sicurezza. Eseguire scansioni di vulnerabilità, prove di penetrazionee audit di sicurezza per identificare e correggere i punti deboli nelle configurazioni RDP e nelle infrastrutture correlate.
Anastasia
Spasojevic
Anastazija è una scrittrice di contenuti esperta con conoscenza e passione per cloud informatica, informatica e sicurezza online. A phoenixNAP, si concentra sulla risposta a domande scottanti su come garantire la robustezza e la sicurezza dei dati per tutti i partecipanti al panorama digitale.