Il 15 gennaio 2025, Microsoft ha rilasciato un aggiornamento di sicurezza per il Gateway di Desktop Remoto (RD Gateway) di Windows, che risolve una vulnerabilità critica potenzialmente esploitabile da attacchi di denial-of-service (DoS)[1]. Questa vulnerabilità, identificata come CVE-2025-21225, può essere sfruttata da attaccanti per creare condizioni di razza, causando un’interruzione della disponibilità del servizio RD Gateway.
La Vulnerabilità
La vulnerabilità CVE-2025-21225 si verifica durante il trattamento delle richieste di rete dal servizio RD Gateway. La causa è una condizione di razza, classificata sotto CWE-843: Accesso a risorse con tipo incompatibile. Questo tipo di vulnerabilità consente agli attaccanti di sfruttare il componente RD Gateway, legato alla pila di rete, rendendolo esploitabile a distanza attraverso Internet[1].
Impatto e Rischi
La vulnerabilità può causare un’interruzione della disponibilità del servizio RD Gateway, rendendo difficile o impossibile l’accesso remoto alle risorse interne. Sebbene non permetta l’esecuzione di codice remoto o il furto di dati, l’impatto sulla disponibilità del servizio è significativo, specialmente per le organizzazioni che dipendono dal RD Gateway per l’accesso remoto sicuro[1].
Affetti dalle Versioni di Windows Server
La vulnerabilità CVE-2025-21225 colpisce diverse versioni di Windows Server, incluse:
- Windows Server 2016 (Core e Standard)
- Windows Server 2019 (Core e Standard)
- Windows Server 2022 (Core e Standard)
- Windows Server 2025 (Core e Standard)[1]
Ogni versione colpita ha ricevuto un aggiornamento di sicurezza con identificatori unici. Ad esempio:
- Windows Server 2019: Aggiornamento KB5050008 (Build 10.0.17763.6775)
- Windows Server 2022: Aggiornamento KB5049983 (Build 10.0.20348.3091)
- Windows Server 2025: Aggiornamento KB5050009 (Build 10.0.26100.2894)[1]
Mitigazioni e Consigli
Per mitigare i rischi associati a questa vulnerabilità, Microsoft consiglia di applicare gli aggiornamenti di sicurezza immediatamente. Inoltre, le organizzazioni dovrebbero adottare le seguenti misure di sicurezza:
1. Applicazione degli Aggiornamenti
- Applicazione degli Aggiornamenti: Assicurarsi di installare gli aggiornamenti di sicurezza rilasciati da Microsoft per risolvere la vulnerabilità CVE-2025-21225[1].
2. Monitoraggio della Rete
- Monitoraggio della Rete: Implementare un monitoraggio robusto per rilevare attività anomale che potrebbero essere dirette contro i servizi RD Gateway[1].
3. Limitazione dell’Esposizione
- Limitazione dell’Esposizione: Limitare l’esposizione del RD Gateway solo a reti fidate tramite regole del firewall[1].
4. Implementazione di Strati di Sicurezza
- Implementazione di Strati di Sicurezza: Considerare l’implementazione di strati di sicurezza aggiuntivi, come VPN o autenticazione multi-fattore, per l’accesso remoto[1].
5. Configurazione del Client RDP
- Configurazione del Client RDP: Configurare il client RDP per utilizzare il gateway RD in modo sicuro. La configurazione può essere effettuata semplicemente modificando le impostazioni avanzate del client RDP[2].
La vulnerabilità CVE-2025-21225 nel Gateway di Desktop Remoto di Windows rappresenta un rischio significativo per le organizzazioni che dipendono da questo servizio per l’accesso remoto sicuro. L’applicazione degli aggiornamenti di sicurezza e l’implementazione di misure di sicurezza aggiuntive possono aiutare a mitigare i rischi associati a questa vulnerabilità. È importante rimanere vigili e applicare regolarmente gli aggiornamenti di sicurezza per proteggere i sistemi da minacce sempre evolventi.
Note
- Fonti:
- [1] Cybersecurity News: Windows RD Gateway Vulnerability Exposes Systems to DoS Attacks.
- [2] Security Berkeley: Securing Remote Desktop (RDP) for System Administrators.
- [3] Il Software: Remote Desktop Gateway: pericolose vulnerabilità sfruttabili da remoto.
- [4] ASPR HHS: StopRansomware: Black Basta.
- [5] Cyolo: New RDP Gateway Vulnerability Leads to Risk of Non-Compliance (CVE-2023-35332).
Fonte: https://cybersecuritynews.com/windows-rd-gateway-vulnerability