Cómo proteger mejor las conexiones del Protocolo de escritorio remoto de Microsoft


El Protocolo de escritorio remoto de Microsoft ha sido cargado con errores de seguridad y debilidades, lo que significa que debe tomar ciertas precauciones al usar RDP para conexiones remotas.

Empleado en oficina

Imagen: Getty Images / iStockphoto

Con la propagación del coronavirus en todo el mundo, más personas están trabajando desde casa como una forma de practicar el distanciamiento social. Pero los trabajadores remotos aún necesitan hacer su trabajo lo mejor que puedan. A veces eso significa conectarse a una estación de trabajo o servidor dentro de la empresa para realizar tareas clave. Y para eso, muchas organizaciones con computadoras con Windows confían en el Protocolo de escritorio remoto (RDP) de Microsoft. Usando herramientas integradas como Remote Desktop Connection, las personas pueden acceder y trabajar con máquinas remotas.

RDP ha sido golpeado por varios agujeros y obstáculos de seguridad a lo largo de los años. En particular, 2019 dio lugar a una vulnerabilidad conocida como BlueKeep que podría permitir que los ciberdelincuentes se apoderen de forma remota de una PC conectada que no está debidamente parcheada. Además, los hackers usan continuamente ataques de fuerza bruta para tratar de obtener las credenciales de las cuentas de los usuarios que tienen acceso remoto al escritorio. Si tienen éxito, pueden obtener acceso a las estaciones de trabajo remotas o servidores configurados para esa cuenta. Por estas razones y más, las organizaciones deben adoptar ciertas medidas de seguridad para protegerse cuando usan el RDP de Microsoft.

VER: Cómo trabajar desde casa: guía de profesionales de TI para teletrabajo y trabajo remoto (TechRepublic Premium)

En las siguientes preguntas y respuestas, Jerry Gamblin, ingeniero de seguridad principal en Kenna Securityy UN. Ananth, director de estrategia en el proveedor de servicios de seguridad gestionados Netsurion, ofrecen sus pensamientos y consejos para organizaciones que usan RDP.

¿Qué vulnerabilidades y fallas de seguridad deberían tener en cuenta las organizaciones con RDP?

Gamblin: Como todas las vulnerabilidades, es importante adoptar un enfoque basado en el riesgo y priorizar la aplicación de parches a las vulnerabilidades de RDP que han conocido exploits públicos armados como CVE-2019-0708 (BlueKeep) Parchear vulnerabilidades sin exploits públicos armados como CVE-2020-0660 son seguros de mantener en su cadencia de parcheo normal.

Ananth: RDP implementado en versiones de Windows, incluido Server 2008/12 R2, 7, 8.1, 10, son vulnerables a las vulnerabilidades descritas como CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222y CVE-2019-1226. A mediados de 2019, aproximadamente 800 millones de usuarios fueron considerados vulnerables. Los exploits para estas vulnerabilidades han estado a la venta en los mercados criminales web desde 2018.

Los servidores más antiguos, que son vulnerables, a menudo son parcheados en un ciclo más lento, y esto extiende la vida de tales vulnerabilidades. Los rastreadores web como shodan.io facilitan a los atacantes identificar rápidamente las máquinas vulnerables que se enfrentan al público. A nivel mundial, más de dos millones de sistemas están expuestos a Internet a través de RDP, de los cuales más de 500,000 se encuentran en los EE. UU.

¿Cómo tratan los hackers y los ciberdelincuentes de aprovechar las cuentas y conexiones RDP?

Gamblin: Encontrar y explotar una vulnerabilidad RDP será el primer paso en una cadena de ataque que probablemente se utilizará para atacar los almacenes de datos internos y los servicios de directorio para pivotar a un motivo financiero o la capacidad de interrumpir las operaciones.

Ananth: Una táctica común es el RDP de fuerza bruta, donde los atacantes automatizan muchos intentos de inicio de sesión utilizando credenciales comunes, esperando un golpe. El segundo implica explotar una vulnerabilidad de software para obtener el control de un servidor RDP. Por ejemplo, los atacantes podrían explotar BlueKeep (CVE-2019-0708) para obtener el control completo de los servidores RDP sin parche de un proveedor de servicios gestionados (MSP).

Un nuevo módulo en Trickbot específicamente trata de forzar cuentas RDP por fuerza bruta. los Sodinokibi y GandCrab Los ataques de malware incorporan módulos RDP. Ryuk ransomware, que ha sido especialmente activo en el 1T 2020, usa RDP para extenderse lateralmente después de ganar el punto de apoyo inicial. los Ataque RobinHood contra la ciudad de Baltimore en mayo de 2019 y el Ataque SamSam contra la ciudad de Atlanta en agosto de 2018 son ejemplos de ataques originados por RDP.

¿Qué opciones de seguridad deberían establecer las organizaciones para protegerse mejor contra las amenazas a las cuentas y conexiones RDP?

Gamblin: Sin muchas excepciones, todas las instancias de RDP deben requerir múltiples niveles de acceso y controles de autenticación. Esto incluiría el uso de una VPN para acceder a una instancia de RDP y requerir un segundo factor (como Dúo) para la autenticación. Algunas organizaciones importantes colocan RDP directamente en Internet, pero la mayoría (con suerte) lo están haciendo sin saberlo. Verificar esto es bastante simple; simplemente encienda su escáner favorito de Internet y observe todas las instancias de RDP expuestas directamente.

Ananth: Hay algunas defensas integradas y sin costo que pueden asegurar RDP. Éstas incluyen:

  • Parches: Mantenga los servidores especialmente actualizados.
  • Contraseñas complejas: Utilice también la autenticación de dos factores e implemente políticas de bloqueo.
  • Puerto predeterminado: Cambie el puerto predeterminado utilizado por RDP de 3389 a otra cosa a través del Registro.
  • Firewall de Windows: Use el firewall de Windows incorporado para restringir las sesiones RDP por dirección IP.
  • Autenticación de nivel de red (NLA): Habilite NLA, que no es el predeterminado en versiones anteriores.
  • Limite el acceso RDP: Limite el acceso RDP a un grupo de usuarios específico. No permita que ningún administrador de dominio acceda a RDP.
  • Acceso RDP de túnel: Acceso al túnel a través de IPSec o Cubierta segura (SSH)

Sin embargo, incluso si tomó todas estas medidas de prevención y endurecimiento, no se puede garantizar la seguridad. Monitorear la utilización de RDP. Busque comportamientos anómalos y vistos por primera vez. Una sucesión de intentos fallidos seguidos de un intento exitoso indica adivinación de contraseña de fuerza bruta exitosa. UNA Información de seguridad y gestión de eventos La solución (SIEM) con capacidades efectivas de correlación puede identificar rápidamente tales intentos.

Ver también



Enlace a la noticia original