Cómo combatir los ataques cibernéticos que explotan el protocolo de escritorio remoto de Microsoft


Según McAfee, los piratas informáticos que obtienen acceso a un sistema remoto pueden lanzar malware, propagar spam y realizar robos de identidad.

Las personas que ahora se ven obligadas a trabajar desde casa debido a la cuarentena de coronavirus aún deben hacer su trabajo de la manera más efectiva posible. En muchos casos, el private de TI y otros empleados necesitan conectarse de forma remota a estaciones de trabajo y servidores en la oficina, y para eso suelen confiar en el Protocolo de escritorio remoto (RDP) de Microsoft integrado en Windows.

Sin embargo, RDP plantea varios riesgos de seguridad, especialmente si el acceso, las cuentas y la autenticación necesarios no están configurados correctamente. En una publicación de weblog publicada el jueves, McAfee explica cómo los ciberdelincuentes aprovechan el acceso a RDP y qué pueden hacer las organizaciones para protegerse.

En su weblog «Los cibercriminales explotan activamente el PDR para atacar organizaciones remotas«, McAfee explicó que RDP a menudo se ejecuta en servidores Home windows, incluidos servidores website y servidores de archivos. En algunos casos, también se united states of america con sistemas de regulate industrial.

Muchos sistemas con RDP están expuestos a world-wide-web El número de sistemas expuestos aumentó de alrededor de 3 millones en enero de 2020 a más de 4,5 millones en marzo. En línea con ese aumento, el volumen de ataques contra puertos RDP también se ha disparado.

posed-rdp-ports-mcafee.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2020/05/07/6fa7e626-12da-43c1-8900-43dfc9b0e8b3/resize/770x/33a4367144e8376cf0e38aa8f287ff33 /exposed-rdp-ports-mcafee.jpg

Imagen: McAfee

VER: Cómo trabajar desde casa: guía de profesionales de TI para teletrabajo y trabajo remoto (TechRepublic Top quality)

Además, McAfee ha descubierto un aumento en la cantidad de credenciales RDP que se venden en los mercados subterráneos, muchas a precios relativamente bajos. En un ejemplo, el Credenciales RDP de un aeropuerto internacional importante se negociaban en la world wide web oscura por solo $ 10.

Los piratas informáticos suelen hacerse cargo de las cuentas con acceso RDP a través de ataques de contraseña de fuerza bruta. Tales ataques son particularmente exitosos contra contraseñas débiles, que todavía se usan con demasiada frecuencia. Las principales contraseñas más utilizadas analizadas por McAfee para cuentas RDP fueron «prueba», «1», «12345», «contraseña», «Contraseña1», «1234», «P @ ssw0rd», «123» y «123456. » Algunos sistemas RDP ni siquiera tenían una contraseña.

Los defectos también se descubren a menudo en RDP, que requieren que Microsoft emita parches de seguridad. Uno de los ejemplos recientes más infames fue la vulnerabilidad BlueKeep que surgió en 2019. En enero, Microsoft también tuvo que corregir fallas relacionadas con la Puerta de enlace de escritorio remoto, que se united states of america para proteger las conexiones remotas. Pero las organizaciones tienen que aplicar los parches de Microsoft, de lo contrario seguirán siendo vulnerables a las vulnerabilidades RDP.

Los delincuentes que obtienen acceso remoto a una organización a través de RDP pueden usarla para una variedad de propósitos nefastos. Pueden usar un sistema legítimo para enviar spam. Pueden usar la máquina comprometida para distribuir malware o implantar un criptominer, que aprovecha la potencia inactiva de la CPU para extraer criptomonedas. También pueden usar un sistema remoto para llevar a cabo fraudes adicionales, como el robo de identidad.

Con la transición al trabajo remoto ocurriendo de manera tan rápida y abrupta, los piratas informáticos saben que muchas organizaciones pueden no haber establecido los controles y restricciones de seguridad adecuados para RDP.

Para evitar que se explote RDP en su organización, McAfee ofrece las siguientes pautas:

  • No permita conexiones RDP a través de World wide web abierto.
  • Use contraseñas complejas, así como autenticación multifactor.
  • Bloquee a los usuarios y bloquee o agote las IP que tienen demasiados intentos fallidos de inicio de sesión.
  • Use una puerta de enlace RDP.
  • Limite el acceso a la cuenta de administrador de dominio.
  • Minimice la cantidad de administradores locales.
  • Use un firewall para restringir el acceso.
  • Habilitar el modo de administrador restringido.
  • Habilite la autenticación de nivel de red (NLA).
  • Asegúrese de que las cuentas de administrador neighborhood sean únicas y restrinja a los usuarios que pueden iniciar sesión con RDP.
  • Considere la colocación dentro de la crimson.
  • Considere usar una convención de nomenclatura de cuentas que no revele información de la organización.

Ver también

de cerca en la mano del hombre de negocios que sostiene el teléfono inteligente para trabajar o usar la función en la aplicación con interfaz de tecnología virtual "src =" https://tr1.cbsistatic.com/hub/i/r/2020/03/25/472333c8-72f5-4ef6 -92dc-26457580d9b7 / resize / 770x / 6403ddf7a6626192113f5a4fe5471d6d / istock-1060919616.jpg

Imagen: Getty Illustrations or photos / iStockphoto



Enlace a la noticia first