Ho trovato un PoC per un attacco MitM verso RDP pubblicato a marzo 2017 ma nessun CVE in nessuno dei database e nessuna menzione di patch di Microsoft.
Voglio sapere se funziona ancora, come potrei scoprirlo senza testarlo da solo?
Il problema descritto nel documento non è una vulnerabilità reale, ma piuttosto la conseguenza dell'utilizzo di certificati non attendibili nell'ambiente. Durante la connessione a un server RDP remoto, per impostazione predefinita utilizza un certificato autofirmato. Quando accetti quel certificato, ti fidi del sistema remoto. Se questo è il modo nella tua rete, l'attaccante può configurare un server proxy e proxy tutto il traffico RDP attraverso il suo sistema, ad es. eseguire un attacco man-in-the-middle. Inizia quando si accetta il certificato dell'attaccante e si stabilisce la connessione.
Per evitare questo problema, è necessario utilizzare certificati attendibili, firmati dalla CA attendibile. E quando il server remoto offre un certificato non affidabile, dovresti sospettare che qualcosa non va. È lo stesso problema con i browser Web e i certificati falsi.
La linea di fondo, se la tua organizzazione utilizza certificati autofirmati, è vulnerabile a questo attacco.
Ecco alcuni articoli su come configurare i server RDP per utilizzare certificati attendibili: link
Leggi altre domande sui tag man-in-the-middle rdp cve