Un canale che può essere utilizzato in modo improprio dai criminali informatici: Il protocollo RDP (Remote Desktop Protocol) è diventato uno strumento importante per la gestione delle reti aziendali nell'era degli spazi di lavoro ibridi. Tuttavia, un endpoint RDP non protetto costituisce un vettore che offre ai criminali informatici vantaggi significativi quando tentano di attaccare i vostri sistemi. Quali attività dannose potrebbero essere eseguite dagli attori delle minacce tramite RDP e come si può impedire che lo facciano?
Che cos'è un endpoint RDP?
È un dispositivo Windows che esegue il software Remote Desktop Protocol (RDP) in modo da potervi accedere tramite una rete, ad esempio Internet. RDP consente di accedere ai dispositivi Windows di un'organizzazione da remoto, come se le loro tastiere e i loro schermi fossero sulla vostra scrivania. Può essere utile per la gestione o la risoluzione dei problemi dei dispositivi dei dipendenti, fornendo risorse centralizzate come desktop che possono eseguire carichi di lavoro pesanti, applicazioni, database e molto altro.
Il numero di incidenti che hanno utilizzato un endpoint RDP negli ultimi anni è in aumento.
Sempre più spesso gli aggressori hanno sfruttato la possibilità di connettersi ai server Windows da Internet utilizzando RDP e accedendo come amministratore del computer. Ciò potrebbe essere avvenuto sfruttando vulnerabilità (come BlueKeep CVE-2019-0708), phishing, credential stuffing, password spraying, brute force o accesso mal configurato ai sistemi interni. Una volta entrati, gli aggressori cercano di determinare per cosa viene utilizzato il server, da chi e quando viene utilizzato. Seguiranno azioni dannose.
Le attività dannose più comuni eseguite tramite RDP:
- Installazione di ransomware
- Installazione di programmi di cryptomining per generare criptovaluta (come Monero)
- Installazione di software di controllo remoto aggiuntivo per mantenere l'accesso ai server compromessi nel caso in cui vengano scoperte attività RDP.
Le principali vulnerabilità che portano a un attacco tramite RDP sono le credenziali di accesso deboli.
A causa di queste, RDP è a rischio di attacchi brute-force e credential stuffing. L'accesso illimitato alle porte rappresenta un altro problema: la maggior parte delle connessioni RDP utilizza la porta predefinita 3389, che apre una strada agli aggressori.
L'utilizzo di sistemi operativi non supportati o il mancato aggiornamento alla versione più recente aprono le porte a exploit e vulnerabilità. Ad esempio, BlueKeep è una vulnerabilità di sicurezza che ha colpito in larga misura Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 nel maggio 2019 e che continua ad avere un impatto sulle infrastrutture IT ancora oggi. La vulnerabilità di BlueKeep consente agli aggressori di eseguire codice di programma arbitrario sui computer delle vittime. Anche se i singoli aggressori possono rappresentare una minaccia diffusa utilizzando strumenti automatizzati per gli attacchi, la vulnerabilità BlueKeep è "wormable". Ciò significa che un attacco può diffondersi automaticamente attraverso le reti senza alcun intervento da parte degli utenti.
A parte questo, trovare sistemi accessibili dall'esterno e poi abusarne per scopi malevoli è semplice per i criminali. Perché? I sistemi RDP vulnerabili sono abbastanza facili da trovare. Ad esempio, i sistemi che eseguono RDP possono essere identificati da motori di ricerca specializzati come Shodan, che setacciano costantemente Internet alla ricerca di dispositivi connessi e raccolgono informazioni su di essi. Ad agosto 2021, Shodan indicava che su Internet c'erano oltre 4 milioni di sistemi con la porta 3389 di RDP aperta.
È inoltre facile per gli aggressori ottenere un punto d'appoggio sui sistemi RDP se questi hanno una configurazione inadeguata. Gli strumenti e le tecniche per l'escalation dei privilegi e l'ottenimento dei diritti di amministrazione su sistemi RDP compromessi sono ampiamente conosciuti e disponibili.
Usare RDP in modo sicuro
Se volete utilizzare il Remote Desktop Protocol in modo sicuro, limitate l'accesso a RDP a ruoli specifici e a sistemi configurati in modo sicuro, patchati tempestivamente, monitorati costantemente, firewalled in modo appropriato e sottoposti a backup regolari. Assicuratevi che tutti rispettino le regole aziendali sull'uso di RDP e fate un inventario delle vostre risorse rivolte a Internet: non è raro che un'organizzazione subisca un attacco attraverso una risorsa connessa a Internet di cui il personale addetto alla sicurezza era a conoscenza solo dopo l'attacco. Per questo motivo è necessario mettere in atto processi per garantire che ciò non accada alla vostra azienda.
Una volta fatto l'inventario delle risorse che si affacciano su Internet, documentate quali sono quelle che hanno l'accesso remoto abilitato e decidete se tale accesso è necessario. In caso affermativo, seguite le regole che seguono.
Come ridurre le probabilità di successo di un attacco RDP alla vostra società :
1. Disattivate il Remote Desktop Protocol se non è in uso.
2. Richiedete password forti per tutti gli account a cui è possibile accedere tramite RDP e l'autenticazione a più fattori (MFA) è d'obbligo.
3. Modificate il numero di porta RDP predefinito in modo che gli strumenti di port-scanning non lo trovino nell'elenco delle porte RDP aperte.
4. Impostare le regole del firewall per consentire l'accesso a RDP solo a indirizzi IP specifici.
5. Assicurarsi che i dipendenti utilizzino l'ultima versione del sistema operativo scelto e che venga aggiornato regolarmente.
6. Installate una VPN per intermediare la connessione RDP, poiché la crittografia fornita dalla VPN è il suo servizio chiave.
7. Sostituite i computer non sicuri, come quelli con sistemi operativi che non possono essere aggiornati all'ultima versione.
8. Abilitare il blocco dello sfruttamento nel software di sicurezza degli endpoint.