Rilasciato PoC che sfrutta un bug in Windows RD Gateway

27/01/2020

cve-2020-0609 cve-2020-0610 RDP Vulnerabilità

 

Un Proof-of-Concept (PoC) in grado di generare un Denial of Service (DoS), è stato pubblicato su github da un ricercatore danese (Ollypwn). L’exploit, in particolare, sfrutta due vulnerabilità descritte nella CVE-2020-0609 e CVE-2020-0610 che interessano il componente Gateway Desktop remoto (RD Gateway) sui seguenti sistemi operativi:

  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Il Gateway di Desktop Remoto viene utilizzato per isolare i server, che espongono il protocollo RDP su reti interne, da connessioni Internet (come un proxy) e per consentire agli utenti che hanno eseguito correttamente l’autenticazione sul gateway di raggiungere il server.

Le due vulnerabilità – denominate BlueGate da Ollypwn – sono state patchate da Microsoft durante l’ultimo “patch Tuesday”, ed entrambe consentono l’esecuzione di codice remoto pre-autenticazione. Le vulnerabilità vengono sfruttate su UDP (porta di defaul 3391).

Oltre alla capacità di innescare uno stato di Denial of Service su sistemi senza patch, il PoC DoS del ricercatore include anche uno scanner integrato per verificare se un host è vulnerabile ai tentativi di sfruttamento della CVE-2020-0609 e CVE-2020-0610.

Secondo una scansione effettuata da Shodan sulla porta UDP 3391, oltre 15.500 server risultano raggiungibili su Internet.

Ciò significa che esistono migliaia di potenziali obiettivi per un utente malintenzionato che riesce a creare un exploit RCE funzionante per le due vulnerabilità del RD Gateway.

 

Conclusioni

Per difendersi da potenziali attacchi futuri rivolti a server Gateway Desktop remoto senza patch, è necessario installare gli aggiornamenti di sicurezza rilasciati da Microsoft e discussi in questa news pubblicata dal CERT-PA.

Sui sistemi in cui non è possibile installare la patch indirizzata da Microsoft, si consiglia la disabilitazione di UDP o l’applicazione di opportune regole sui firewall per la porta UDP (in genere la porta 3391) esposta.