El ataque RDP, de solución avanzada a pesadilla de vector de ataque
Cuando las empresas pasaron a trabajar a distancia al principio de la pandemia de coronavirus, tuvieron la suerte de poder recurrir a una vieja solución para mantener la productividad: el protocolo de escritorio remoto (RDP).
Microsoft lanzó el protocolo en 1998, pero no fue hasta la pandemia que muchas empresas se dieron cuenta de su utilidad. Naturalmente, el número de RDPs expuestos a Internet y en riesgo de posibles ataques creció aproximadamente un 35% hasta los 4,7 millones en el primer trimestre de 2020, sin signos de desaceleración, según datos de Reposify, especialista en gestión de superficies de ataque externas.
Por desgracia, el RDP ha demostrado ser igualmente popular entre los ciberdelincuentes. En Estados Unidos, el número medio de intentos de ataques de fuerza bruta contra el RDP se multiplicó por siete, pasando de unos 200.000 al día en enero de 2020 a 1,4 millones en abril de 2020, mientras que este tipo de ataques se multiplicó por tres o por cuatro a nivel mundial, según el proveedor líder de software antivirus Kaspersky.
¿Qué es el RDP y cómo lo utilizan las organizaciones?
El Protocolo de Escritorio Remoto es un protocolo integrado en Microsoft Windows que permite a un usuario conectarse a otro ordenador a través de una conexión de red. El usuario ejecuta el software de cliente RDP, mientras que el otro ordenador debe ejecutar el software de servidor RDP. La conexión RDP presenta la interfaz gráfica del sistema remoto en el dispositivo del usuario, como si se accediera a él localmente.
Originalmente, las conexiones RDP se utilizaban sobre todo para proporcionar asistencia técnica remota. Sin embargo, como hemos comentado, RDP ha crecido en popularidad como una forma de permitir a la gente conectarse remotamente a su propio ordenador de trabajo. Una vez que se ha establecido el acceso remoto a un dispositivo, el usuario puede utilizar todas las herramientas y aplicaciones instaladas en ese dispositivo y copiar, añadir o eliminar contenido como considere oportuno. Aparte de la distancia física, es como si estuvieran realmente sentados frente al dispositivo original.
Existen numerosas alternativas de acceso remoto basadas en la nube al Protocolo de Escritorio Remoto, como SolarWinds Dameware, TeamViewer, AnyDesk y Zoho Assist. Muchas organizaciones también utilizan redes privadas virtuales, o VPN, en lugar del Protocolo de Escritorio Remoto. Sin embargo, la comodidad de contar con una solución integrada ha hecho que muchas empresas utilicen por defecto el RDP de Windows, dejándolas muy vulnerables a los ataques.
Los ataques al RDP crecen y se agravan
Ya en 2018, el Centro de Denuncias de Delitos en Internet del FBI y el Departamento de Seguridad Nacional publicaron una alerta conjunta sobre la amenaza de los ciberdelincuentes que utilizan de forma maliciosa las herramientas de administración remota, y nombraron el Protocolo de Escritorio Remoto como la principal área de preocupación.
En su alerta, los organismos señalaron que los actores de las amenazas identifican y explotan las sesiones RDP vulnerables para facilitar el robo de credenciales y la infección de ransomware. Señalaron cuatro vulnerabilidades principales
- Contraseñas débiles;
- Versiones anticuadas de RDP que utilizan potencialmente CredSSP, el mecanismo de cifrado defectuoso, permitiendo así un potencial ataque de intermediario;
- Permitir el acceso sin restricciones al puerto RDP por defecto (TCP 3389); y
- Permitir un número ilimitado de intentos de acceso a una cuenta de usuario.
Los atacantes de fuerza bruta suelen actuar cuando hay una gran superficie de ataque. El aumento del número de RDP expuestos a Internet durante la pandemia les ha proporcionado una superficie especialmente grande para atacar; de ahí el aumento de los ataques.
En medio del aumento del trabajo remoto, algunos ciberdelincuentes incluso han actualizado su malware con el propósito expreso de dirigirse a los usuarios del Protocolo de Escritorio Remoto. Por ejemplo, el troyano TrickBot añadió recientemente un nuevo módulo llamado rdpScanDll construido especialmente para forzar las cuentas RDP. TrickBot comenzó en 2016 como una amenaza de recolección de credenciales centrada principalmente en la banca online. Pero según el proveedor de software de ciberseguridad Bitdefender, el nuevo módulo rdpScanDll fuerza bruta RDP para una lista específica de objetivos definidos y enviados por los atacantes, centrándose en las telecomunicaciones, la educación y los servicios financieros en los Estados Unidos y Hong Kong. El módulo parece estar todavía en desarrollo y puede servir de inspiración a otros actores maliciosos que buscan explotar a los usuarios de RDP.
Cómo proteger su organización de un ataque RDP
Como en la mayoría de las áreas de riesgo cibernético, es sorprendentemente sencillo establecer una protección básica para su organización.
Aquí hay 5 pasos para empezar:
- Desactive su conexión RDP. Si las personas de su organización necesitan conectarse remotamente a su dispositivo, es preferible configurar una puerta de enlace de escritorio remoto (RDG). Esto garantiza que el acceso remoto sólo esté disponible a través de una conexión de escritorio remoto punto a punto.
- Bloquee el puerto 3389. Los actores maliciosos escanean rutinariamente Internet en busca de 3389 abiertos, el puerto RDP por defecto. El puerto puede bloquearse con un cortafuegos.
- Utilice contraseñas seguras. Dado que la fuerza bruta es la forma más común de hackear un RDP, utilice siempre contraseñas complejas, especialmente en las cuentas de administrador.
- Utiliza la autenticación multifactorial. Incluso con contraseñas seguras, las credenciales de acceso pueden ser robadas. La autenticación multifactorial añade una capa extra de protección y una mayor tranquilidad.
- Tenga siempre copias de seguridad. Ninguna organización es 100% inmune a los ataques, ya sea a través de RDP u otros medios. Así que tenga siempre copias de seguridad almacenadas de forma segura.
Conclusión
Entender cómo aprovechar las capacidades de los escritorios remotos en su beneficio, en lugar de que se vuelvan en su contra, es el primer paso para abordar el vector de la amenaza RDP. Como siempre, el uso de un SOC (centro de operaciones de seguridad) gestionado le ofrece protección para toda su infraestructura crítica y una rápida respuesta a cualquier ataque, incluidos los ataques RDP.