La contraddizione della cybersicurezza: tra World Password Day, NIS2 e la falla di Microsoft RDP

Nel panorama digitale contemporaneo, la cybersicurezza non è più un'opzione ma una necessità imprescindibile. Proprio mentre l'Europa sta implementando la prima fase della direttiva NIS2 e abbiamo appena celebrato il World Password Day, emerge una preoccupante vulnerabilità nei sistemi Microsoft che solleva interrogativi sulla coerenza tra le raccomandazioni di sicurezza e le pratiche effettivamente adottate dai colossi tecnologici.

Il paradosso della sicurezza informatica

Il 2 maggio scorso si è celebrato il World Password Day, una giornata dedicata alla sensibilizzazione sull'importanza di adottare pratiche sicure per la gestione delle credenziali di accesso. Le raccomandazioni standard includono l'utilizzo di passkey, password complesse con almeno 12 caratteri, l'autenticazione a più fattori (MFA) e il cambio regolare delle password compromesse.

World Password Day, Clusit: più sicurezza senza le password - Data Manager Online

L’Associazione Italiana per la Sicurezza Informatica spiega perché è urgente abbandonare l’utilizzo delle password tradizionali: solo autenticazione multifattoriale e biometria garantiscono un livello adeguato di sicurezza digitale

Data Manager OnlineRedazione Data Manager Online

Simultaneamente, l'Unione Europea ha avviato la prima fase di implementazione della direttiva NIS2, un insieme di norme volte a rafforzare la resilienza cibernetica delle infrastrutture critiche europee.

In questo contesto di apparente progresso verso una maggiore sicurezza, emerge però una contraddizione significativa: una vulnerabilità nei sistemi Microsoft Remote Desktop Protocol (RDP) che mina proprio quei principi di sicurezza che vengono promossi a livello globale.

Microsoft has no plans to fix Windows RDP bug that lets you log in with old passwords

It’s a feature, not a bug…supposedly.

Tom's HardwareAsh Hill

La vulnerabilità di Microsoft RDP: un "backdoor persistente"

Secondo numerose fonti autorevoli nel settore della sicurezza informatica, è stata identificata una grave falla nel protocollo RDP di Microsoft. Quando un dispositivo Windows è autenticato con un account Microsoft o Azure e ha abilitato l'accesso remoto tramite RDP, le password precedentemente utilizzate vengono memorizzate localmente in forma crittografata.

Il punto critico è il seguente: anche dopo che la password dell'account è stata modificata o revocata, le vecchie credenziali continuano a consentire l'accesso remoto indefinitamente.

Questo comportamento è dovuto al meccanismo di caching delle credenziali sul disco locale, che permette a RDP di validare le password inserite confrontandole con quelle salvate localmente, senza effettuare una nuova verifica online. Tale meccanismo bypassa anche le misure di sicurezza più avanzate come l'autenticazione a più fattori e le policy di accesso condizionato, rendendo di fatto inutili molti degli sforzi per rafforzare la sicurezza degli accessi.

La posizione controversa di Microsoft

Microsoft è a conoscenza del problema da almeno agosto 2023, ma anziché considerarlo una vulnerabilità da correggere, l'azienda di Redmond lo ha definito un "comportamento intenzionale" del sistema. La giustificazione fornita è duplice:

1. Garantire che almeno un account possa sempre accedere al sistema, anche quando questo è offline da lungo tempo
2. Mantenere la compatibilità con applicazioni legacy che dipendono da questa funzionalità

Questi argomenti hanno suscitato forti critiche da parte della comunità di esperti di sicurezza informatica, che hanno definito tale comportamento un "backdoor persistente" e un "tradimento della fiducia". La premessa fondamentale della sicurezza delle password è che, una volta modificata, la vecchia credenziale dovrebbe diventare immediatamente inutilizzabile. La mancanza di trasparenza su questa funzionalità e l'assenza di strumenti per disabilitarla aumentano significativamente i rischi di accessi non autorizzati, specialmente se le password sono state precedentemente compromesse.

Windows RDP lets you log in using revoked passwords. Microsoft is OK with that.

Researchers say the behavior amounts to a persistent backdoor.

Ars TechnicaDan Goodin

Le implicazioni per la cybersicurezza italiana ed europea

Questa situazione risulta particolarmente preoccupante nel contesto italiano ed europeo, considerando la recente attivazione della prima fase della direttiva NIS2 e il ruolo dell'Agenzia per la Cybersicurezza Nazionale (ACN) italiana. L'ACN ha stabilito una collaborazione proprio con Microsoft per migliorare la cybersicurezza nazionale, ma questa falla potrebbe compromettere tali sforzi.

La direttiva NIS2 mira a rafforzare la resilienza delle infrastrutture critiche contro le minacce informatiche, imponendo standard di sicurezza più elevati e obblighi di segnalazione degli incidenti. Tuttavia, la presenza di una vulnerabilità così significativa in uno dei sistemi più diffusi nelle organizzazioni europee solleva dubbi sulla possibilità di raggiungere gli obiettivi prefissati dalla normativa.

NIS, avviata la seconda fase

Il Tavolo per l’attuazione della nuova disciplina esamina misure e procedure per le oltre 20.000 organizzazioni interessate

ACN

Le critiche degli esperti di sicurezza

Gli analisti indipendenti non hanno risparmiato critiche alla decisione di Microsoft. Secondo molti esperti, questo caso rappresenta un esempio emblematico del divario tra le raccomandazioni teoriche sulla sicurezza informatica e le implementazioni pratiche. In particolare, viene evidenziato come:

• La memorizzazione indefinita delle vecchie password contraddice il principio fondamentale secondo cui una password cambiata dovrebbe essere immediatamente invalidata
• L'assenza di un'opzione per disabilitare questa funzionalità priva gli amministratori IT della possibilità di implementare politiche di sicurezza più rigorose
• La mancanza di trasparenza sulla questione mina la fiducia degli utenti e delle organizzazioni nei confronti di uno dei principali fornitori di tecnologia a livello mondiale

Le possibili contromisure

In assenza di una patch ufficiale da parte di Microsoft, che al momento non sembra intenzionata a modificare questo comportamento, gli esperti di sicurezza suggeriscono alcune contromisure parziali:

1. Limitare l'utilizzo di RDP quando possibile, prediligendo altre soluzioni di accesso remoto
2. Implementare ulteriori livelli di protezione della rete, come VPN e firewall configurati adeguatamente
3. Monitorare attentamente i log di accesso per identificare eventuali tentativi di accesso non autorizzati
4. Effettuare regolarmente il reimaging completo dei sistemi critici anziché limitarsi alla semplice modifica delle password

Conclusione: un monito per la sicurezza digitale

La contraddizione tra le raccomandazioni del World Password Day e la realtà della vulnerabilità di Microsoft RDP dovrebbe servire da monito per tutta la comunità della cybersicurezza. Non è sufficiente promuovere pratiche teoriche di sicurezza se poi i sistemi fondamentali su cui si basano le nostre infrastrutture digitali presentano vulnerabilità così significative.

Per l'ACN e per le organizzazioni italiane soggette alla direttiva NIS2, questa situazione rappresenta una sfida importante. La collaborazione con i giganti tecnologici deve includere una valutazione critica delle loro scelte di implementazione e la trasparenza deve essere un requisito non negoziabile.

Mentre ci muoviamo verso un futuro sempre più digitale, la fiducia nella sicurezza dei nostri sistemi informatici non può essere data per scontata, ma deve essere costantemente verificata e, se necessario, messa in discussione, anche quando si tratta dei player più importanti del settore.