Puntos de entrada comunes #4 – RDSH
Si existe un punto débil en tu entorno informático, es sólo cuestión de tiempo que una amenaza lo aproveche. Hasta ahora, nuestra serie de «puntos de entrada comunes» ha analizado ITaaS («Servicios Gestionados IT»), VPNs y sistemas operativos sin parches y obsoletos, todo ello basado en incidentes reales de los que se ha ocupado CYREBRO. Ahora veremos otro punto de entrada común, el Host de Sesión de Escritorio Remoto (RDSH). A raíz de la pandemia y el cambio de las empresas a estructuras de trabajo desde casa, los ataques RDSH se han hecho populares entre los ciberdelincuentes.
¿Qué es RDSH?
RDSH es un rol de Servicio de Escritorio Remoto (RDS). Contiene escritorios basados en sesiones y aplicaciones compartidas con usuarios que acceden a ellos a través de clientes de Escritorio Remoto o mediante un cliente web y un navegador compatible. Una vez que los usuarios tienen acceso, tienen control sobre el dispositivo conectado.
Aunque el Protocolo de Escritorio Remoto (RDP) existe desde hace décadas, su uso se ha multiplicado a medida que más personas trabajan a distancia. En abril de 2020, el Departamento de Seguridad Nacional de Estados Unidos (DHS), la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) publicaron una alerta conjunta sobre un aumento sustancial de los ciberataques. Dicha alerta señalaba que un aumento del 127% en los puntos finales RDP expuestos había llevado a que RDP se convirtiera en el factor de ataque más común para los ciberdelincuentes y las bandas de ransomware.
Un ataque RDSH desde adentro
Como la pandemia brindó una excelente oportunidad para que los ciberdelincuentes lanzaran sus ataques, CYREBRO se ocupó de un caso complicado relacionado con un ataque RDSH. En un esfuerzo por mantener alta la productividad de los empleados que estaban dispersos, la empresa desplegó una plataforma RDSH, que permitía a los usuarios conectarse de forma interactiva a un servidor de entrada que se conectaba tanto a Internet como a la red interna.
A través del servidor, los usuarios podían acceder a cualquier servicio que necesitaran para completar su trabajo diario o utilizar el servidor para realizar el RDP a su propio endpoint en la oficina. Sin embargo, el dominio del cliente estaba completamente comprometido por un ciberdelincuente que había obtenido acceso a los Controladores de Dominio y había conseguido generar un ataque «Golden Ticket».
Aunque la solución mantuvo a los empleados conectados y en condiciones de trabajar, hubo dos errores que tuvieron graves consecuencias:
- El servidor tenía almacenadas en caché las credenciales de un administrador de dominio, por lo que después de que el atacante consiguiera violar el servidor y simplemente extraer las credenciales, podría conectarse a cualquier servidor que deseara.
- El servidor RDSH no estaba aislado de la red de servidores de la empresa, lo que permitía a los ciberdelincuentes utilizar las credenciales obtenidas y conectarse a cualquier servidor.
Esta violación provocó que el cliente tuviera que reconstruir su dominio completamente desde cero, lo que llevó varios meses y causó un tiempo de inactividad significativo. Esta historia es un caso concreto, pero, por desgracia, muchas otras empresas han sufrido o sufrirán el mismo destino por tener entradas no seguras. Pero tú no tienes por qué ser una estadística si sigues los protocolos de seguridad adecuados.
Adaptarse a la nueva normalidad: la era del trabajo desde casa
En el informe sobre el estado del trabajo remoto en 2021 de Owl Labs, el 70% de los empleados estadounidenses trabajaban a distancia. Algunos países siguen inmersos en la pandemia y con reglas de distanciamiento social, incluido el trabajo desde casa. Incluso en países donde la pandemia es ya casi endémica, muchas empresas, como 3M, Atlassian, Twitter, Spotify y Reddit, no han exigido a sus trabajadores que vuelvan a la oficina. Esto significa que el trabajo remoto e híbrido no se irá. Las empresas deben reforzar su seguridad para hacer frente a esta nueva realidad.
Centrarse en la seguridad perimetral
Las empresas deben proporcionar herramientas y soluciones que permitan a los empleados ser tan productivos como si estuvieran en la oficina. A medida que se añaden nuevas herramientas, el usuario se expone a un mayor número de vulnerabilidades, pero puedes mejorar tu postura de seguridad al seguir unas cuantas buenas prácticas lógicas.
Las soluciones como RDSH han dejado de ser un lujo para convertirse en una necesidad. Dado que estas soluciones proporcionan entradas a la red interna, la seguridad debe ser estricta en todo el perímetro de la red. El perímetro de una red es el límite entre su red interna y la Internet. El borde del perímetro separa esencialmente aquello sobre lo que una empresa tiene control de aquello sobre lo que no lo tiene. Proteger el perímetro de intrusiones no autorizadas debe ser una prioridad absoluta.
Prácticas recomendadas para el uso de RDSH
Dado que las oportunidades de trabajar desde casa siguen siendo un atractivo para retener a los empleados y para nuevas contrataciones, los responsables de seguridad deben establecer normas y aplicar las mejores prácticas. Por suerte, no resulta tan difícil hacerlo.
Establecer un GPO: Los administradores de dominio NUNCA deberían tener credenciales almacenadas en caché en los servidores. Si tu empresa lo hace, es hora de cambiarlo a través de la Directiva de Grupo (GPO) de Microsoft, que son configuraciones que definen el aspecto y el comportamiento de los sistemas para grupos de usuarios. Puedes utilizar la Consola de administración de directivas de grupo (GPMC) para crear un GPO que defina opciones de seguridad, directivas basadas en el registro, opciones de software y scripts, y más.
La configuración de la directiva de grupo puede proporcionar seguridad mediante:
- Limitar el acceso al Panel de Control para proteger los datos y los sistemas
- Desactivación del símbolo del sistema, que activará un mensaje de rechazo si alguien intenta abrir una ventana de comandos.
- Impedir la instalación de software que pueda incluir programas maliciosos u otras aplicaciones no deseadas
Proteger y vigilar: El RDSH y otros servicios remotos conectados a Internet deben bloquearse desde todos los activos críticos y deben supervisarse estrictamente. Si tu empresa no tiene capacidad para hacerlo por sí sola, asociarse con una empresa de ciberseguridad como CYREBRO es una decisión inteligente. La supervisión debe realizarse de forma continua para que, en caso de que los activos se vean comprometidos, el ataque pueda detenerse o mitigarse en cuanto se detecte por primera vez. Para reforzar aún más la seguridad, asegúrate de que tu empresa tiene instalada una solución fiable de detección y respuesta de endpoints (EDR) u otras soluciones de protección de endpoints. Estas soluciones te alertarán de cualquier actividad maliciosa, para que puedas investigar los incidentes con rapidez y frenar los ataques a endpoints.
La concienciación es clave
Con toda probabilidad, RDSH es sólo uno de los muchos servicios remotos que tu empresa utiliza hoy en día para hacer frente a los retos del trabajo desde casa. Ahora que el trabajo tiene un aspecto diferente, debes reevaluar tu estrategia de seguridad para responder adecuadamente al movimiento del trabajo a distancia, que parece destinado a quedarse a largo plazo.
Todas las empresas tienen puntos débiles. Ser consciente de las vulnerabilidades es lo que en última instancia te permitirá construir defensas más fuertes.