Il Remote Desktop Protocol (RDP) è uno degli strumenti più utilizzati nelle aziende per l'accesso remoto ai sistemi Windows. Tuttavia, nel 2026 le nuove vulnerabilità critiche hanno reso l'esposizione diretta di RDP su Internet una pratica inaccettabile per qualsiasi ambiente di produzione.
1. La Nuova Minaccia: CVE-2026-21533
La vulnerabilità CVE-2026-21533 rappresenta una delle falle più gravi emerse negli ultimi anni nei servizi di Desktop Remoto di Windows. In specifiche condizioni, questa vulnerabilità permette:
- Elevazione di privilegi — un attaccante con accesso limitato può ottenere il controllo amministrativo completo del sistema
- Esecuzione remota di codice — possibilità di installare malware, ransomware o backdoor
- Movimento laterale — dall'host compromesso, l'attaccante può raggiungere altri sistemi nella rete aziendale
Questa vulnerabilità non è solo teorica: è stata già sfruttata attivamente in attacchi reali, con casi documentati di compromissione completa di infrastrutture aziendali a partire da un singolo servizio RDP esposto.
2. Perché RDP Esposto è un Bersaglio Facile
I sistemi con RDP raggiungibile da Internet sono sottoposti a attacchi costanti e automatizzati. Ecco cosa accade concretamente:
Scanning Massivo
Bot automatici scansionano continuamente la porta 3389 e porte alternative alla ricerca di servizi RDP esposti.
Brute Force
Attacchi sistematici di credential stuffing tentano migliaia di combinazioni username/password al minuto.
Exploit Zero-Day
Le nuove CVE vengono integrate negli strumenti di attacco entro ore dalla pubblicazione.
Ransomware
RDP esposto è il vettore d'ingresso #1 per gli attacchi ransomware che colpiscono le PMI.
Mito da sfatare: "Cambio la porta e sono al sicuro"
Cambiare la porta da 3389 a un'altra porta non è una misura di sicurezza. Gli scanner moderni identificano servizi RDP su qualsiasi porta in pochi secondi analizzando il protocollo, non il numero di porta.
3. Quali Sistemi Sono a Rischio
Sono da considerarsi a rischio elevato tutti i sistemi che presentano una o più di queste condizioni:
- Server o workstation con RDP direttamente raggiungibile da Internet
- Accesso remoto senza VPN o gateway di accesso dedicato
- Assenza di autenticazione multi-fattore (MFA)
- RDP pubblicato su porta non standard come unica "misura di sicurezza"
- Mancanza di segmentazione di rete adeguata
- Patch di sicurezza non aggiornate con regolarità
In questi scenari, la compromissione di un singolo host RDP può diventare rapidamente il punto di ingresso per un attacco su larga scala: ransomware, esfiltrazione dati, sabotaggio operativo.
4. Valutazione del Rischio
Probabilità
Alta
Esposizione costante a scanner e attacchi automatizzati
Impatto
Critico
Controllo amministrativo, ransomware, esfiltrazione dati
Con porta non standard
Inaccettabile
Non rappresenta una mitigazione efficace
5. Azioni Immediate per Proteggere la Tua Azienda
Chiudere l'esposizione diretta
Disabilitare immediatamente qualsiasi accesso RDP diretto da Internet, sia sulla porta 3389 che su porte alternative.
Implementare VPN con MFA
Mettere RDP dietro una VPN con autenticazione forte: multi-fattore (MFA), certificati digitali o Conditional Access.
Applicare le patch di sicurezza
Aggiornare immediatamente Remote Desktop Services, Gateway, sistema operativo e implementazioni RDP di terze parti.
Limitare l'accesso per IP
Configurare whitelist di IP autorizzati e abilitare Network Level Authentication (NLA) dove possibile.
6. Strategia di Sicurezza a Medio Termine
Oltre alle azioni immediate, è fondamentale adottare un approccio strutturato:
- Architettura Zero Trust — adottare il principio "never trust, always verify" per tutti gli accessi ai sistemi critici
- Hardening dei sistemi — ridurre i privilegi, disabilitare account non necessari, applicare policy di password robuste
- Monitoraggio e alerting — implementare log e alert su tentativi di login falliti, creazione di account privilegiati, accessi anomali
- Gateway/Bastion Host — centralizzare gli accessi remoti attraverso un punto controllato e monitorato
- Security Awareness — formare il personale IT sulle best practice di sicurezza per l'accesso remoto
Domande Frequenti
Cos'è la vulnerabilità RDP CVE-2026-21533?
È una vulnerabilità critica nel protocollo Remote Desktop di Windows che permette l'elevazione di privilegi e il controllo completo del sistema partendo da un accesso limitato tramite RDP. È già sfruttata attivamente in attacchi reali.
Come proteggere il server RDP dagli attacchi?
Le azioni immediate includono: chiudere l'esposizione diretta di RDP su Internet, mettere RDP dietro VPN con MFA, applicare tutte le patch di sicurezza recenti e limitare l'accesso per IP.
Cambiare la porta RDP è sufficiente?
No. Gli scanner moderni identificano servizi RDP su qualsiasi porta analizzando il protocollo. La soluzione corretta è non esporre mai RDP direttamente su Internet e utilizzare VPN o gateway dedicati.
