Come proteggere al meglio il vostro Microsoft Remote Desktop Protocol connessioni
Con il coronavirus diffondendo in tutto il mondo, sempre più persone vengono a lavorare da casa come un modo per praticare l’allontanamento sociale. Ma i lavoratori remoti devono ancora fare il loro lavoro al meglio delle loro capacità. A volte ciò significa connettersi a una workstation o un server all’interno dell’azienda per eseguire attività chiave. E per questo, molte organizzazioni con computer Windows si basano su Remote Desktop Protocol (RDP) di Microsoft. Utilizzando strumenti integrati come Remote Desktop Connection, le persone possono accedere e lavorare con macchine remote.
RDP è stato colpito da vari buchi di sicurezza e ostacoli nel corso degli anni. In particolare, 2019 ha dato origine a una vulnerabilità nota come BlueKeep che potrebbe consentire ai criminali informatici di rilevare da remoto un PC connesso che non è correttamente patchato. Inoltre, gli hacker utilizzano continuamente attacchi di forza bruta per cercare di ottenere le credenziali utente degli account che hanno accesso desktop remoto. In caso di successo, possono quindi accedere alle workstation o ai server remoti impostati per quell’account. Per queste e altre ragioni, le organizzazioni devono adottare determinate misure di sicurezza per proteggersi quando utilizzano RDP di Microsoft.
VEDI: How to work from home: IT pro’s guidebook to telelavoro e lavoro a distanza (TechRepublic Premium)
Nel seguente Q&A, Jerry Gamblin, principal security engineer presso Kenna Security, e A. N. Ananth, Chief Strategy officer presso Managed security service provider Netsurion, offrono i loro pensieri e consigli per le organizzazioni che utilizzano RDP.
Quali vulnerabilità e difetti di sicurezza dovrebbero essere a conoscenza delle organizzazioni con RDP?
Gamblin: Come tutte le vulnerabilità, è importante adottare un approccio basato sul rischio e dare la priorità alle vulnerabilità RDP di patch che hanno conosciuto exploit pubblici come CVE-2019-0708 (BlueKeep). Le vulnerabilità di patch senza exploit pubblici come CVE-2020-0660 sono sicure da mantenere nella normale cadenza di patch.
Ananth: RDP come implementato nelle versioni di Windows, tra cui Server 2008/12 R2, 7, 8.1, 10, sono noti vulnerabili agli exploit descritti come CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 e CVE-2019-1226. A metà 2019, circa 800 milioni di utenti erano considerati vulnerabili. Gli exploit per queste vulnerabilità sono stati in vendita sui mercati criminali web da 2018.
I server più vecchi, che sono vulnerabili, sono spesso patchati a un ciclo più lento, e questo prolunga la vita di tali vulnerabilità. Crawler Web come shodan.io rendono facile per gli aggressori di identificare rapidamente le macchine vulnerabili di fronte al pubblico. In tutto il mondo, oltre due milioni di sistemi sono esposti a Internet tramite RDP, di cui oltre 500.000 negli Stati Uniti.
In che modo hacker e criminali informatici cercano di sfruttare gli account e le connessioni RDP?
Gamblin: trovare e sfruttare una vulnerabilità RDP sarà il primo passo in una catena di attacchi che probabilmente verrà utilizzata per attaccare archivi di dati interni e servizi di directory per ruotare su un motivo finanziario o sulla capacità di interrompere le operazioni.
Ananth: Una tattica comune è RDP brute-forcing, dove gli aggressori automatizzano molti tentativi di accesso utilizzando credenziali comuni, sperando uno colpisce. Il secondo riguarda lo sfruttamento di una vulnerabilità software per ottenere il controllo di un server RDP. Ad esempio, gli aggressori potrebbero sfruttare BlueKeep (CVE-2019-0708) per ottenere il controllo completo dei server RDP senza patch di un provider di servizi gestiti (MSP).
Un nuovo modulo in Trickbot cerca specificamente di account RDP a forza bruta. Gli attacchi malware Sodinokibi e GandCrab incorporano moduli RDP. Ryuk ransomware, che è stato particolarmente attivo in 1Q 2020, utilizza RDP per diffondersi lateralmente dopo il punto d’appoggio iniziale è guadagnato. L’attacco RobinHood contro la città di Baltimora a maggio 2019 e l’attacco SamSam contro la città di Atlanta ad agosto 2018 sono esempi di attacchi originati da RDP.
Quali opzioni di sicurezza dovrebbero essere messe in atto dalle organizzazioni per proteggersi meglio dalle minacce agli account e alle connessioni RDP?
Gamblin: Senza molte eccezioni, tutte le istanze RDP dovrebbero richiedere più livelli di controllo di accesso e autenticazione. Ciò includerebbe l’uso di una VPN per accedere a un’istanza RDP e richiedere un secondo fattore (come Duo) per l’autenticazione. Alcune grandi organizzazioni posto RDP direttamente su internet, ma la maggior parte (si spera) stanno facendo questo inconsapevolmente. Controllare questo è piuttosto semplice; basta accendere il tuo scanner preferito a livello di Internet e guardare tutte le istanze RDP direttamente esposte.
Ananth: ci sono alcune difese integrate a costo zero che possono proteggere RDP. Questi includono:
- Patch: mantenere i server particolarmente aggiornati.
- Password complesse: Utilizzare anche l’autenticazione a due fattori e implementare i criteri di blocco.
- Porta predefinita: cambia la porta predefinita utilizzata da RDP da 3389 a qualcos’altro tramite il Registro di sistema.
- Windows firewall: utilizzare Windows firewall integrato per limitare le sessioni RDP in base all’indirizzo IP.
- Autenticazione a livello di rete (NLA): abilita NLA, che non è predefinito nelle versioni precedenti.
- Limita l’accesso RDP: limita l’accesso RDP a un gruppo di utenti specifico. Non consentire a nessun amministratore di dominio di accedere a RDP.
- Accesso al tunnel RDP: accesso al tunnel tramite IPSec o Secure Shell (SSH).
Tuttavia, anche se hai preso tutte queste misure di prevenzione e indurimento, non si può garantire la sicurezza. Monitorare l’utilizzo RDP. Cerca comportamenti anomali e visti per la prima volta. Una successione di tentativi falliti seguiti da un tentativo riuscito indica il successo di indovinare la password di forza bruta. Una soluzione SIEM (Security Information and Event Management) con funzionalità di correlazione efficaci può individuare rapidamente tali tentativi.
Cybersecurity Insider Newsletter
Rafforza le difese della sicurezza IT della tua organizzazione tenendoti al passo con le ultime notizie, soluzioni e best practice sulla sicurezza informatica. Consegnato martedì e giovedì
Iscriviti oggi
Vedere anche
- Dark Web: un cheat sheet per i professionisti (TechRepublic)
- 2020 Tech conferenze ed eventi da aggiungere al calendario (PDF gratuito) (TechRepublic download)
- Policy pack: Workplace ethics (TechRepublic Premium)
- Remote working 101: Guida professionale agli strumenti del mestiere (ZDNet)
- 5 migliori convertitori da scrivania in piedi per il 2020 (CNET)
- Le 10 app per iPhone più importanti di tutti i tempi (Download.com)
- Storia tech: Controlla la nostra copertura (TechRepublic su Flipboard)