Cómo proteger mejor sus conexiones de Protocolo de Escritorio remoto de Microsoft
Con la propagación del coronavirus en todo el mundo, más personas están trabajando desde casa como una forma de practicar el distanciamiento social. Pero los trabajadores remotos todavía necesitan hacer su trabajo lo mejor que puedan. A veces eso significa conectarse a una estación de trabajo o servidor dentro de la empresa para realizar tareas clave. Y para ello, muchas organizaciones con equipos Windows confían en el Protocolo de Escritorio Remoto (RDP) de Microsoft. Mediante el uso de herramientas integradas como la conexión a escritorio remoto, las personas pueden acceder a máquinas remotas y trabajar con ellas.
RDP ha sido golpeado por varios agujeros de seguridad y obstáculos a lo largo de los años. En particular, 2019 dio lugar a una vulnerabilidad conocida como BlueKeep que podría permitir a los ciberdelincuentes hacerse cargo de forma remota de un PC conectado que no está correctamente parcheado. Además, los hackers utilizan continuamente ataques de fuerza bruta para intentar obtener las credenciales de usuario de las cuentas que tienen acceso a escritorio remoto. Si tiene éxito, pueden obtener acceso a las estaciones de trabajo remotas o servidores configurados para esa cuenta. Por estas y otras razones, las organizaciones deben adoptar ciertas medidas de seguridad para protegerse cuando usan RDP de Microsoft.
VEA: Cómo trabajar desde casa: Guía de IT pro para teletrabajo y trabajo remoto (TechRepublic Premium)
En la siguiente pregunta& A, Jerry Gamblin, ingeniero de seguridad principal de Kenna Security, y A. N. Ananth, director de estrategia del proveedor de servicios de seguridad administrada Netsurion, ofrece sus ideas y consejos a las organizaciones que utilizan RDP.
¿Qué vulnerabilidades y fallas de seguridad deben tener en cuenta las organizaciones con RDP?
Gamblin: Al igual que todas las vulnerabilidades, es importante adoptar un enfoque basado en el riesgo y priorizar las vulnerabilidades RDP que han conocido exploits públicos armados como CVE-2019-0708 (BlueKeep). Las vulnerabilidades de parcheo sin exploits públicos armados como CVE-2020-0660 son seguras para mantener en su cadencia de parcheo normal.
Ananth: los RDP implementados en versiones de Windows, incluido Server 2008/12 R2, 7, 8.1, 10, son vulnerables a vulnerabilidades descritas como CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226. A mediados de 2019, alrededor de 800 millones de usuarios se consideraban vulnerables. Los exploits para estas vulnerabilidades han estado a la venta en los mercados criminales web desde 2018.
Los servidores más antiguos, que son vulnerables, a menudo se parchean en un ciclo más lento, y esto extiende la vida útil de dichas vulnerabilidades. Rastreadores web como Shodan.io facilita a los atacantes la identificación rápida de máquinas vulnerables de cara al público. En todo el mundo, más de dos millones de sistemas están expuestos a Internet a través de RDP, de los cuales más de 500.000 se encuentran en los Estados Unidos.
¿Cómo intentan los hackers y ciberdelincuentes aprovechar las cuentas y conexiones RDP?
Gamblin: Encontrar y explotar una vulnerabilidad RDP será el primer paso en una cadena de ataques que probablemente se usaría para atacar almacenes de datos internos y servicios de directorio para pivotar hacia un motivo financiero o la capacidad de interrumpir las operaciones.
Ananth: Una táctica común es el forzamiento bruto RDP, en el que los atacantes automatizan muchos intentos de inicio de sesión utilizando credenciales comunes, con la esperanza de que se produzca uno. El segundo implica explotar una vulnerabilidad de software para obtener el control de un servidor RDP. Por ejemplo, los atacantes podrían explotar BlueKeep (CVE-2019-0708) para obtener el control completo de los servidores RDP sin parches de un proveedor de servicios administrados (MSP).
Un nuevo módulo en Trickbot intenta específicamente forzar cuentas RDP de forma bruta. Los ataques de malware Sodinokibi y GandCrab incorporan módulos RDP. El ransomware Ryuk, que ha estado especialmente activo en el 1T de 2020, utiliza RDP para propagarse lateralmente una vez que se obtiene el punto de apoyo inicial. El ataque de RobinHood contra la Ciudad de Baltimore en mayo de 2019 y el ataque de SamSam contra la ciudad de Atlanta en agosto de 2018 son ejemplos de ataques originados por RDP.
¿Qué opciones de seguridad deben implementar las organizaciones para protegerse mejor contra las amenazas a las cuentas y conexiones RDP?
Gamblin: Sin muchas excepciones, todas las instancias RDP deben requerir varios niveles de controles de acceso y autenticación. Esto incluiría el uso de una VPN para acceder a una instancia RDP y requerir un segundo factor (como Duo) para la autenticación. Algunas organizaciones importantes colocan el PDR directamente en Internet, pero la mayoría (con suerte) lo están haciendo sin saberlo. Comprobar esto es bastante simple; simplemente encienda su escáner de Internet favorito y mire todas las instancias RDP directamente expuestas.
Ananth: Hay algunas defensas integradas sin costo que pueden proteger RDP. Estos incluyen:
- Parches: Mantenga los servidores especialmente actualizados.
- contraseñas Complejas: También use autenticación de dos factores e implemente políticas de bloqueo.
- Puerto predeterminado: Cambie el puerto predeterminado utilizado por RDP de 3389 a otra cosa a través del Registro.
- Firewall de Windows: Utilice el firewall de Windows integrado para restringir las sesiones RDP por dirección IP.
- Autenticación de nivel de red (NLA): Habilite la NLA, que no es predeterminada en versiones anteriores.
- Limitar el acceso RDP: Limita el acceso RDP a un grupo de usuarios específico. No permita que ningún administrador de dominio acceda a RDP.
- Acceso RDP de túnel: Acceso de túnel a través de IPsec o Secure Shell (SSH).
Sin embargo, incluso si tomó todas estas medidas de prevención y endurecimiento, no se puede garantizar la seguridad. Monitoree la utilización de RDP. Busca un comportamiento anómalo y visto por primera vez. Una sucesión de intentos fallidos seguidos de un intento exitoso indica una adivinación de contraseña de fuerza bruta exitosa. Una solución de Gestión de Información y Eventos de Seguridad (SIEM) con capacidades de correlación efectivas puede identificar rápidamente dichos intentos.
Boletín informativo de Cybersecurity Insider
Fortalezca las defensas de seguridad de TI de su organización manteniéndose al tanto de las últimas noticias, soluciones y prácticas recomendadas de ciberseguridad. Entregado Martes y Jueves
Regístrese hoy
También consulte
- Dark Web: Una hoja de trucos para profesionales (TechRepublic)
- Conferencias y eventos tecnológicos de 2020 para agregar a su calendario (PDF gratuito) (descarga de TechRepublic)
- Paquete de políticas: Ética en el lugar de trabajo (TechRepublic Premium)
- Trabajo remoto 101: Guía profesional de las herramientas del oficio (ZDNet)
- Los 5 mejores convertidores de escritorio de pie para 2020 (CNET)
- Las 10 aplicaciones para iPhone más importantes de todos Download.com)
- Historia de la tecnología: Echa un vistazo a nuestra cobertura (TechRepublic en Flipboard)