BlueKeep demo

Vulnerabilità RDP: Bluekeep demo, come avviene un attacco

Vulnerabilità RDP – Colloquialmente nota come BlueKeep, la vulnerabilità CVE-2019-0863 è stata individuata all’interno del servizio di Desktop Remoto (RDP) delle versioni meno recenti di Windows NT (da Windows 7 in giù), e può in teoria essere sfruttata (senza alcun intervento dell’utente) per eseguire codice malevolo da remoto, installare programmi, modificare o cancellare dati e altro ancora.

In questa demo, come avviene un attacco tipico sfruttando questa vulnerabilità.

Vulnerabilità RDP, prima fase

1. L’attaccante utilizza un exploit del protocollo RDP (CVE-2019-0708, aka “Bluekeep”) per ottenere una Reverse Command Shell dal client Windows non aggiornato;

2. L’attaccante esplora il sistema e trova un file con all’interno le password dell’utente, che potrà riutilizzare per successivi attacchi. In questa fase l’attaccante potrebbe effettuare movimenti laterali su altri sistemi della rete aziendale.

Vulnerabilità RDP, seconda fase

  1. L’attaccante utilizza un altro exploit del protocollo RDP (CVE-2012-0152) per causare il crash del sistema operativo (Denial of Service);
  2. Il sistema dell’utente si riavvia.

Di seguito il video demo dell’attacco:

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

Domain threat
intelligence

ON PREMISE

Servizi Swascan