Cómo protegerse de las vulnerabilidades y amenazas de seguridad en RDP

Con la propagación del coronavirus en todo el mundo, más personas están trabajando desde casa como forma de practicar el distanciamiento social. Sin embargo, los trabajadores remotos aún necesitan realizar sus tareas de la mejor manera posible. A veces esto implica conectarse a una estación de trabajo o servidor dentro de la empresa para realizar tareas clave. Y para eso, muchas organizaciones con computadoras Windows confían en el Protocolo de Escritorio Remoto (RDP) de Microsoft. Utilizando herramientas incorporadas como Remote Desktop Connection, las personas pueden acceder y trabajar con máquinas remotas.

El RDP ha sido afectado por diferentes agujeros y obstáculos de seguridad a lo largo de los años. Más notablemente, en 2019 surgió una vulnerabilidad conocida como BlueKeep que podría permitir a los ciberdelincuentes tomar el control remoto de una PC conectada que no esté correctamente parcheada. Además, los hackers continúan utilizando ataques de fuerza bruta para intentar obtener las credenciales de usuario de las cuentas que tienen acceso de escritorio remoto. Si tienen éxito, pueden obtener acceso a las estaciones de trabajo o servidores remotos configurados para esa cuenta. Por estas razones y más, las organizaciones deben adoptar ciertas medidas de seguridad para protegerse al utilizar el RDP de Microsoft.

En la siguiente pregunta y respuesta, Jerry Gamblin, ingeniero principal de seguridad en Kenna Security, y A.N. Ananth, director de estrategia en Netsurion, proveedor de servicios de seguridad administrados, ofrecen sus ideas y consejos para las organizaciones que utilizan RDP.

Índice de Contenido
  1. ¿Qué vulnerabilidades y fallas de seguridad deben tener en cuenta las organizaciones con RDP?
  2. ¿Cómo intentan los hackers y los ciberdelincuentes aprovechar las cuentas y conexiones de RDP?
  3. ¿Qué opciones de seguridad deberían implementar las organizaciones para proteger mejor las cuentas y conexiones de RDP contra amenazas?

¿Qué vulnerabilidades y fallas de seguridad deben tener en cuenta las organizaciones con RDP?

Gamblin: Al igual que con todas las vulnerabilidades, es importante adoptar un enfoque basado en el riesgo y priorizar la aplicación de parches a las vulnerabilidades de RDP que tienen exploits conocidos y publicados, como CVE-2019-0708 (BlueKeep). Los parches para las vulnerabilidades sin exploits publicados, como CVE-2020-0660, pueden mantenerse en la programación normal de parches.

Ananth: El RDP implementado en las versiones de Windows, incluidas Server 2008/12 R2, 7, 8.1 y 10, es conocido por ser vulnerable a exploits como CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 y CVE-2019-1226. Hasta mediados de 2019, se consideraba que alrededor de 800 millones de usuarios eran vulnerables. Los exploits para estas vulnerabilidades han estado a la venta en mercados criminales en línea desde 2018.

Los servidores antiguos, que son vulnerables, a menudo se parchean con menos frecuencia, lo que prolonga la vida de estas vulnerabilidades. Rastreadores web como shodan.io facilitan que los atacantes identifiquen rápidamente máquinas vulnerables expuestas al público. En todo el mundo, más de dos millones de sistemas están expuestos a Internet a través de RDP, de los cuales más de 500,000 están en Estados Unidos.

Encuesta revela que más del 60% de los adultos están preocupados por su privacidad en línea

¿Cómo intentan los hackers y los ciberdelincuentes aprovechar las cuentas y conexiones de RDP?

Gamblin: Encontrar y explotar una vulnerabilidad de RDP sería el primer paso en una cadena de ataque que probablemente se utilizaría para atacar almacenes de datos internos y servicios de directorio para pivotar hacia un motivo financiero o la capacidad de interrumpir las operaciones.

Ananth: Una táctica común es el ataque de fuerza bruta a RDP, donde los atacantes automatizan muchos intentos de inicio de sesión utilizando credenciales comunes, en la esperanza de que alguno funcione. La segunda táctica implica explotar una vulnerabilidad de software para tomar el control de un servidor RDP. Por ejemplo, los atacantes podrían aprovechar BlueKeep (CVE-2019-0708) para obtener el control completo de los servidores RDP no parcheados de un proveedor de servicios administrados (MSP).

Un nuevo módulo en Trickbot específicamente intenta forzar las cuentas de RDP. Los ataques de malware Sodinokibi y GandCrab incorporan módulos de RDP. El ransomware Ryuk, que ha sido especialmente activo en el primer trimestre de 2020, utiliza RDP para expandirse lateralmente después de obtener una base de operaciones inicial. Los ataques RobinHood contra la ciudad de Baltimore en mayo de 2019 y el ataque SamSam contra la ciudad de Atlanta en agosto de 2018 son ejemplos de ataques originados en RDP.

¿Qué opciones de seguridad deberían implementar las organizaciones para proteger mejor las cuentas y conexiones de RDP contra amenazas?

Gamblin: Con pocas excepciones, todas las instancias de RDP deben requerir múltiples niveles de acceso y controles de autenticación. Esto incluiría el uso de una red privada virtual (VPN) para acceder a una instancia de RDP y requerir un segundo factor (como Duo) para la autenticación. Algunas organizaciones importantes colocan RDP directamente en Internet, pero la mayoría (con suerte) lo hacen sin saberlo. Verificar esto es bastante simple: solo se necesita utilizar un escáner de Internet y observar todas las instancias de RDP directamente expuestas.

Ananth: Hay algunas defensas incorporadas y de bajo costo que pueden asegurar el RDP. Estas incluyen:

  • Parcheo: Mantener los servidores especialmente actualizados.
  • Contraseñas complejas: También utilizar autenticación de dos factores e implementar políticas de bloqueo de cuentas.
  • Puerto predeterminado: Cambiar el puerto predeterminado utilizado por RDP de 3389 a otro número a través del Registro.
  • Cortafuegos de Windows: Utilizar el cortafuegos de Windows incorporado para restringir las sesiones de RDP por dirección IP.
  • Autenticación de nivel de red (NLA): Habilitar NLA, que no es la configuración predeterminada en versiones antiguas.
  • Limitar el acceso a RDP: Limitar el acceso a RDP a un grupo de usuarios específico. No permitir que ningún administrador de dominio acceda a RDP.
  • Tunelizar el acceso a RDP: Tunneler el acceso a través de IPSec o Secure Shell (SSH).

Sin embargo, incluso si se toman todas estas medidas de prevención y fortalecimiento, no se puede garantizar la seguridad. Es importante monitorear la utilización de RDP y buscar comportamientos anómalos o que sean vistos por primera vez. Una sucesión de intentos fallidos seguido de un intento exitoso indica un adivinamiento exitoso de contraseña mediante fuerza bruta. Una solución de administración de eventos e información de seguridad (SIEM) con capacidades de correlación efectivas puede identificar rápidamente dichos intentos.

Microsoft y Intel desarrollan una nueva tecnología para proteger el flujo de control en programas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo protegerse de las vulnerabilidades y amenazas de seguridad en RDP , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.