a melhor forma de proteger o Microsoft Remote Desktop Protocol conexões
Com o coronavírus se espalhando por todo o mundo, mais pessoas estão trabalhando a partir de casa como uma forma de praticar o distanciamento social. Mas os trabalhadores remotos ainda precisam fazer seu trabalho com o melhor de suas habilidades. Às vezes, isso significa conectar-se a uma estação de trabalho ou servidor dentro da empresa para executar tarefas-chave. E para isso, muitas organizações com computadores Windows dependem do Remote Desktop Protocol (RDP) da Microsoft. Usando ferramentas integradas como Conexão de área de Trabalho Remota, as pessoas podem acessar e trabalhar com máquinas remotas.
RDP foi atingido por várias falhas de segurança e obstáculos ao longo dos anos. Mais notavelmente, 2019 deu origem a uma vulnerabilidade conhecida como BlueKeep que poderia permitir que os cibercriminosos assumissem remotamente um PC conectado que não está devidamente corrigido. Além disso, os hackers usam continuamente ataques de Força bruta para tentar obter as credenciais do usuário de contas que têm acesso à área de trabalho remota. Se for bem-sucedido, eles podem obter acesso às estações de trabalho remotas ou servidores configurados para essa conta. Por esses motivos e muito mais, as organizações precisam adotar certas medidas de segurança para se proteger ao usar o RDP da Microsoft.
veja: como trabalhar em casa: Guia Do It pro para teletrabalho e Trabalho Remoto (TechRepublic Premium)
no seguinte Q& a, Jerry Gamblin, engenheiro de segurança principal da Kenna Security e A. N. Ananth, diretor de estratégia do provedor de serviços de segurança gerenciada Netsurion, oferece seus pensamentos e conselhos para organizações que usam RDP.
quais vulnerabilidades e falhas de segurança as organizações devem estar cientes com o RDP?
Gamblin: como todas as vulnerabilidades, é importante adotar uma abordagem baseada em riscos e priorizar o patch de vulnerabilidades RDP que conhecem exploits públicos armados como CVE-2019-0708 (BlueKeep). Corrigir vulnerabilidades sem exploits públicos armados como CVE-2020-0660 são seguros para manter em sua cadência normal de patching.
Ben: RDP como implementado em versões do Windows, incluindo o Servidor de 2008/12 R2, 7, 8.1, 10, são conhecidos vulneráveis à exploração descrito como CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, e CVE-2019-1226. Em meados de 2019, cerca de 800 milhões de usuários eram considerados vulneráveis. Os Exploits para essas vulnerabilidades estão à venda nos mercados criminais da web desde 2018.
servidores mais antigos, que são vulneráveis, são frequentemente corrigidos em um ciclo mais lento, e isso prolonga a vida útil de tais vulnerabilidades. Rastreadores da Web como shodan.o io torna mais fácil para os invasores identificarem rapidamente máquinas vulneráveis voltadas para o público. Em todo o mundo, mais de dois milhões de sistemas estão expostos à internet via RDP, dos quais mais de 500.000 estão nos EUA.
como hackers e cibercriminosos tentam tirar proveito de contas e conexões RDP?Gamblin: encontrar e explorar uma vulnerabilidade RDP será o primeiro passo em uma cadeia de ataque que provavelmente seria usada para atacar armazenamentos de dados internos e serviços de diretório para girar para um motivo financeiro ou a capacidade de interromper operações.
Ananth: Uma tática comum é a força bruta RDP, onde os invasores automatizam muitas tentativas de login usando credenciais comuns, esperando que uma delas seja atingida. O segundo envolve a exploração de uma vulnerabilidade de software para obter o controle de um servidor RDP. Por exemplo, os invasores podem explorar o BlueKeep (CVE-2019-0708) para obter o controle completo dos servidores RDP sem correção de um provedor de serviços gerenciados (MSP).
um novo módulo no Trickbot tenta especificamente fazer contas RDP de Força bruta. Os ataques de malware Sodinokibi e GandCrab incorporam módulos RDP. Ryuk ransomware, que tem sido especialmente ativo no 1T 2020, usa RDP para se espalhar lateralmente após a posição inicial ser adquirida. O ataque RobinHood contra a cidade de Baltimore em maio de 2019 e o ataque SamSam contra a cidade de Atlanta em agosto de 2018 são exemplos de ataques originados pelo RDP.
quais opções de segurança as organizações devem implementar para se proteger melhor contra ameaças a contas e conexões RDP?Gamblin: sem muitas exceções, todas as instâncias RDP devem exigir vários níveis de controles de acesso e autenticação. Isso incluiria o uso de uma VPN para acessar uma instância RDP e exigir um segundo fator (como Duo) para Autenticação. Algumas grandes organizações colocam o RDP diretamente na internet, mas a maioria (espero) está fazendo isso sem saber. Verificar isso é bem simples; basta ativar seu scanner favorito em toda a internet e observar todas as instâncias RDP diretamente expostas.
Ananth: existem algumas defesas integradas e sem custo que podem proteger o RDP. Estes incluem:
- Patching: mantenha os servidores especialmente atualizados.
- senhas complexas: Use também autenticação de dois fatores e implemente Políticas de bloqueio.
- Porta Padrão: altere a porta padrão usada pelo RDP de 3389 para outra coisa através do registro.
- firewall do Windows: Use o firewall integrado do Windows para restringir as sessões RDP por endereço IP.Autenticação de Nível de rede (NLA): habilite o NLA, que não é padrão em versões mais antigas.
- limite o acesso RDP: limite o acesso RDP a um grupo de Usuários específico. Não permita que nenhum administrador de domínio acesse RDP.
- acesso RDP do túnel: acesso ao túnel via IPSec ou Secure Shell (SSH).
no entanto, mesmo que você tenha tomado todas essas etapas de prevenção e endurecimento, não se pode garantir a segurança. Monitore a utilização do RDP. Procure comportamento visto pela primeira vez e anômalo. Uma sucessão de tentativas fracassadas seguidas por uma tentativa bem-sucedida indica adivinhação de senha de Força bruta bem-sucedida. Uma solução de gerenciamento de informações e Eventos de segurança (SIEM) com recursos de correlação eficazes pode identificar rapidamente essas tentativas.
Cybersecurity Insider Newsletter
fortaleça as defesas de segurança de TI da sua organização, mantendo-se a par das últimas notícias, soluções e melhores práticas de segurança cibernética. Entregue terças e quintas-feiras
cadastre-se hoje
veja Também
- Dark Web: Um cheat sheet para profissionais (TechRepublic)
- 2020 Tecnologia de conferências e eventos para adicionar ao seu calendário (PDF) (TechRepublic download)
- Política pack: Ética no local de trabalho (TechRepublic Premium)
- trabalho Remoto 101: guia do Profissional para as ferramentas do comércio (ZDNet)
- 5 melhores de pé secretária conversores para 2020 (CNET)
- Os 10 mais importantes aplicativos para iPhone de todos os tempos (Download.com)
- a história da Tecnologia: confira nossa cobertura (TechRepublic no Flipboard)