RDP e porta TS: como evitar explorações ao protocolo no acesso remoto
O que é RDP?
O Windows Remote Desktop Protocol, (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.
Como funciona o Remote Desktop Protocol?
Geralmente, este recurso é utilizado pelas empresas para acessar máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico, que precisa acessar essas máquinas de maneira remota para algum tipo de ajuste.
Basicamente, o protocolo RDP funciona de maneira bidirecional:
- Transferindo a saída de tela do servidor para o cliente
- Transferindo a entrada de teclado e mouse do cliente para o servidor.
Se tratando de acesso remoto, existem muitos riscos envolvidos, principalmente para a segurança das informações e dados da empresa.
Por isso, é muito importante você entender como esses recursos podem ser explorados e como garantir um acesso remoto seguro, protegendo as informações da empresa.
RDP: ataques que exploram a vulnerabilidades

Apesar da necessidade de ser habilitado, geralmente, a equipe de suporte técnico já deixa o serviço configurado, para facilitar o acesso remoto e a resolução de problemas à distância.
Como ocorre a exploração ao RDP?
A exploração desta ferramenta se dá porque o Terminal Server e o RDP abre a porta 3389, tornando pública a conexão na área de trabalho remota, permitindo o acesso entre dois computadores, através de uma rede local ou da internet.
É essa vulnerabilidade que os cibercriminosos exploram, utilizando essas brechas para obter lucros, roubando informações e executando vazamento de dados.
Algumas falhas de grande repercussão já foram associadas ao RDP, como a Esteem Audit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.
Vale a pena ressaltar: o nosso intuito ao relatar os ataques e problemas não é menosprezar a ferramenta, mas expor os riscos e conscientizar.
Afinal, um cibercriminoso pode utilizar um software para escanear e identificar o IP, e as portas abertas referentes àquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.
Brute force e ransomware
Os atacantes também podem explorar vulnerabilidades associadas a configurações incorretas, a saber:
- Credenciais de logins do usuário fracas
- Ausência de monitoramento e registro em servidores onde o ocorre logins RDP
- Ausência de filtragem de rede
Em todos esses exemplos, os cibercriminosos podem executar ataques de força bruta, realizando a tentativa de acesso indevido com logins sucessivos, baseados em um dicionário de senhas comumente utilizadas.
Conheça todas as estratégias do brute force acessando nosso artigo completo sobre essa ameaça:

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware.
Em 2018 foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.
Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware. Em 2018, foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), utilizado pelo RDP.
Espiando o tráfego (man in the middle)

Ela atinge todas as versões do Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois, o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle (homem no meio).
Desde então, a RDP vem sendo explorada em ciberataques. Em 2020, os ataques que exploram essa vulnerabilidade cresceram cerca de 242%, devido à alta de home office no Brasil.
Ataque DoS
Criminosos utilizam combinações de ataques para obter acesso às credenciais RDP. Após obter as senhas e acessos por meio do ataque de força bruta, o atacante pode executar uma negação de serviço (DoS) contra a memória ou armazenamento do sistema operacional, interrompendo seu funcionamento normal e impedindo que outros usuários o acessem.
Engenharia Social: manipulando o acesso remoto
A manipulação e indução psicológica é um ingrediente fundamental no sucesso das táticas dos criminosos digitais. Esse elemento pode ser percebido na exploração do RDP e Porta TS. Em uma publicação recente do fórum Reddit, um usuário relatou um golpe de engenharia social:
Alguém da China pediu para utilizar o seu computador remotamente, em troca de pagamento, um golpista à procura da presa mais fácil, à distância de um clique.
Nesta situação, fica claro a combinação da vulnerabilidade do acesso remoto com a manipulação aplicada, com objetivo de obter dinheiro fácil.
BlueKeep

Outra vulnerabilidade utilizando o RDP foi divulgada pelo Patch Tuesday: a Blue Keep. A Blue Keep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol), e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).
O protocolo é baseado nos padrões de protocolos T120, e consegue proporcionar multi canais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.
Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede. Todas essas características do RDP é o que torna essa vulnerabilidade tão preocupante.
A Blue Keep não necessita de um usuário autenticado, ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.
É necessário que os usuários e empresas fiquem atentos a essa ameaça, pois afeta as versões: Windows 7, Windows Server 2008 R2 e Windows Server 2008.
Em dezembro de 2021, o Windows 7 ainda estava instalado em cerca de 12,9% de todos os computadores do mundo, segundo os dados do Statista. Um percentual que envolve empresas e pessoas que fazem home office.
Acesso remoto seguro: um caminho para evitar explorações ao RDP

Mesmo com a mudança de cenário da pandemia e retorno às atividades presenciais, muitas empresas permanecem com o modelo híbrido, mesclando o home office com as atividades locais.
Segundo a 18ª edição do Índice de Confiança Robert Half, o modelo está sendo usado neste ano por 48% das empresas entrevistadas no Brasil. Ou seja, muitas empresas seguem realizando acesso remoto, expondo a importância de proteção para esse cenário.
Uma informação importante, é que o ataque RDP difere-se de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação.
Na exploração do RDP, o criminoso tem acesso ao servidor no nível do sistema operacional — até mesmo como administrador — ampliando seus acessos e a capacidade de efeito negativo das suas ações.
Conheça a ferramenta que garante um acesso remoto mais seguro.
VPN
A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz,restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.
A segurança do acesso remoto através da VPN é garantido, porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços, como a do RDP.
Fazendo assim como um firewall, a VPN se torna uma barreira de segurança para acessar a rede.
O firewall é uma ferramenta de segurança cibernética, fundamental em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores.
Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina. Os firewalls modulares oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para ser executada.
É o caso do Starti Security Plataform.
Desenvolvido de maneira modularizada, focado nas principais demandas de segurança das empresas, possibilitando a prevenção, o monitoramento e a mitigação de ameaças na rede e na superfície da web.
Descubra recursos como:
- Firewall/VPN
- IDS/IPS
- Web Filter
- Orquestração inteligente de links
Além disso, possuímos um programa de parceria focado no crescimento de receita recorrente e escalabilidade de negócio nas empresas de TI, tornando-as aptas a criarem uma frente de trabalho que venda, entregue e gerencie segurança e disponibilidade como serviço.
Clique no banner abaixo e fale com um de nossos especialistas.
RDP: dicas finais para um gerenciamento de riscos

Além de cuidar do acesso remoto através da VPN, é possível aplicar um gerenciamento de riscos e aumentar a segurança do uso do RPD. Alguns exemplos práticos:
- Desenvolva uma política de senhas e logins, restringindo o uso de senhas fracas para o RDP
- Limite e acompanhe o acesso remoto
- Bloqueie a porta 3389
Aplique um monitoramento de artefatos forenses, a saber:
- Comandos quser, qwinsta e qprocess que fornecem informações sobre usuários, sessões e processos do RDP
- Microsoft-Windows-Terminal-Services-RemoteConnectionManager e Windows-TerminalServices-LocalSessionManager informam sobre as conexões de rede do cliente e o início e a parada das sessões RDP
- E, por fim, o Microsoft-Windows-Security-Auditing inclui os eventos para tentativas de autenticação bem-sucedidas ou com falha.
O acesso remoto é uma necessidade no ambiente empresarial. RDP é uma ferramenta facilitadora para tal ação, por isso, é importante que ele seja feito com segurança, para zelar pela proteção das informações da sua empresa.
Confira mais materiais em nossos outros canais: