Segurança retrospectiva: coisas que as vítimas de violação gostariam de ter feito
Este artigo faz parte de uma série que visa educar os profissionais de segurança cibernética sobre as lições aprendidas pelas vítimas de violação. Cada lição incluirá recomendações simples, muitas das quais não exigem que as organizações comprem nenhuma ferramenta.
O Remote Desktop Protocol (também conhecido como Terminal Services ou Remote Desktop Service) permite que alguém se conecte remotamente a outro computador, proporcionando a mesma experiência do usuário como se estivesse fisicamente presente.
De acordo com nosso 2021 Active Adversary Playbook, o Remote Desktop Protocol (RDP) integrado da Microsoft foi usado para acessar organizações da Internet em 32% dos ataques, classificando-o como o método número um usado para acesso inicial.
Ao contrário de outras ferramentas de acesso remoto, o RDP geralmente não exige nada além de um nome de usuário e senha e muitas vezes o nome de usuário é deixado exposto (você sabe, para facilitar o login da próxima vez). O RDP sofreu com vulnerabilidades ao longo do tempo que permitem acesso sem credenciais.
O uso indevido do RDP se enquadra em algumas técnicas diferentes do MITRE ATT&CK, mas a principal seria T1133 (Serviços Remotos Externos). Outras técnicas MITRE ATT&CK envolvendo RDP incluem:
- T1563 – Sequestro RDP
- T1021 – Movimento Lateral usando RDP
- T1572 – Túneis sobre RDP
- T1573 – Comando e Controle sobre RDP
- T1078 – Usando contas válidas com RDP
- T1049 – Descoberta de conexões de rede do sistema
- T1071 – Protocolo da camada de aplicação
Uma vez que um agente de ameaça tenha feito logon com sucesso em uma sessão RDP, é o mais próximo que eles podem chegar de literalmente sentar na frente do teclado e do mouse, e nem mesmo o data center mais seguro fisicamente do mundo pode ajudar.
O RDP exposto externamente tem uma correção simples – apenas não o exponha. Não encaminhe a porta TCP:3389 em seu firewall para nada. E não pense que usar uma porta diferente ajuda… Eu vejo você – doze mil RDPs na porta 3388!
Embora a cura pareça simples, o Shodan.IO (um mecanismo de busca para a Internet das Coisas) mostra mais de 3,3 milhões de portas RDP 3389 expostas globalmente e facilmente encontradas. Por que é tão popular? Permitir acesso ao RDP é uma maneira rápida e fácil de permitir que alguém forneça administração remota do sistema, como um provedor de serviços gerenciados para gerenciar o servidor de um cliente ou um dentista para acessar seu sistema de escritório de casa.
Se for necessário acesso remoto a RDP ou serviços de terminal, ele só deve ser acessível por meio de uma conexão VPN (rede virtual privada) segura (com autenticação multifator) à rede corporativa ou por meio de um gateway de acesso remoto de confiança zero.
do original em: https://news.sophos.com/en-us/2021/07/18/hindsight-2-block-public-facing-remote-desktop-protocol-rdp/