Blog de Segurança Digital da Starti
  • Blog de Segurança Digital da Starti
  • Firewall
  • Vulnerabilidades
  • Materiais
  • Podcast - Brasil inSeguro

  • Artigos recentes

    Serviços de TI e o Futuro da Segurança da Informação

    há 3 dias

    RDP e porta TS: Como elas podem oferecer um risco a Segurança da Informação

    há 21 dias

    Contratar TI interna ou terceirizar esse serviço?

    há 24 dias

    Como preparar a infraestrutura para projeto de redes de computadores

    há um mês

    Marcadores

    • AdmFirewall
    • admvoice
    • atendimento ao cliente
    • call center
    • Cases de Sucesso
    • Firewall
    • gestão de pessoas
    • Gestão de TI
    • Planejamento
    • Segurança Cibernética

RDP e porta TS: Como elas podem oferecer um risco a Segurança da Informação

Vulnerabilidades • Jul 20, 2020

O Windows Remote Desktop Protocol (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.

Essa ferramenta é empregada para permitir o acesso remoto de uma máquina a outra. Geralmente este recurso é utilizado pelas empresas para acessarem máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico que necessita acessar essas máquinas de maneira remota para algum tipo de ajuste.

Quando falamos sobre acesso remoto existem muitos riscos envolvidos, principalmente às informações e dados da empresa. A saber: falhas no sistema que exclui arquivos que não possuem uma cópia de segurança - backup -, o roubo de uma senha - brute force -  ou até erros do próprio computador. Tudo isso pode gerar grandes prejuízos para os negócios.

A exploração dentro dessa ferramenta se dá porque o Terminal Server e o RDP abrem a porta 3389, tornando pública a conexão na área de trabalho remota, permitindo o acesso entre dois computadores, através de uma rede local ou da internet.

Esse serviço precisa ser habilitado, mas geralmente a equipe de suporte técnico já deixa o mesmo configurado para facilitar o acesso remoto podendo resolver possíveis problemas à distância.

Diante dessa questão, é muito importante que você entenda como esses recursos podem ser explorados em um ataque e o que fazer para garantir um acesso remoto seguro, cuidando assim da segurança das informações da empresa.

Neste artigo você vai descobrir:

  • Ataques que exploram o RDP;
  • Como garantir um acesso remoto seguro;

Pronto? Então vamos lá!

Ataques que exploram o RDP

Como já sabemos, a tecnologia tem benefícios mas também riscos. E dentro de um cenário empresarial, esses riscos apresentam-se como vulnerabilidades, brechas exploradas para a execução de um ataques cibernéticos. Os criminosos utilizam essas brechas para obter lucros roubando informações e executando vazamento de dados.

Algumas falhas de grande repercussão já foram associadas ao RDP, como a Esteem Audit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.

É importante ressaltar que o meu intuito ao relatar os ataques e problemas não é menosprezar a ferramenta, mas expor os riscos e conscientizar.

Afinal, um cracker pode utilizar um software para escanear e identificar o IP, e as portas abertas referente aquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.

Como é o caso do ataque de força bruta, a tentativa de acesso indevido com logins sucessivos baseados em um dicionário de senhas comumente utilizadas.

Descubra mais sobre esse ataque em nosso artigo:

Brute Force: Tudo que você precisa saber!
Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde força-se a entrada em algum sistema, site, servidor, aplicativo, etc. A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso às…
Mirian FernandesBlog de Segurança Digital da Starti

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware. Em 2018 foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.

Ela atinge todas as versões de Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle (homem no meio).

Desde então, a RDP vem sendo explorada em ciberataques. A seguir mostrarei um exemplo de ataque ocorrido, e, uma nova vulnerabilidade que surgiu explorando esse risco.

Zakrytye

Um tipo concreto das consequências do uso inadequado do RDP ocorreu no ano de 2018,  promovido pela nova equipe Zakrytye. Um ataque efetuado contra a Câmara Municipal de Araguacema o grupo ganhou acesso ao servidor por meio da exploração de falha no RDP.

Um vídeo publicado por um dos integrantes da equipe explica como esse ataque ocorreu. Você pode assistir clicando aqui: HaxStroke. Uma das graves consequências do ataque foi o vazamento de dados da Câmara Municipal de Araguacema.

BlueKeep

Outra vulnerabilidade utilizando o RDP foi divulgada pelo Patch Tuesday: a Blue Keep. A Blue Keep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).  

O protocolo é baseado nos padrões de protocolos T120 e tem a capacidade de proporcionar multi canais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.  

Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede.Todas essas características do RDP é que tornam essa vulnerabilidade tão preocupante.

A Blue Keep não necessita de um usuário autenticado ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.

O alerta em relação a essa vulnerabilidade se dá por uma falha bem como: sistemas desatualizados, por isso a Microsoft deixou uma alerta:

“Uma ameaça que pode se propagar de um computador vulnerável a outro, do mesmo jeito que ocorreu com o malware WannaCry, que infestou máquinas do mundo todo em 2017”.

É necessário que os usuários e empresas fiquem atentos a essa ameaça pois como vimos ela afeta as versões: Windows 7, Windows Server 2008 R2 e Windows Server 2008. E, se tratando especificamente do Windows 7 quase 40% dos PC no Brasil ainda utilizam essa versão; dentro desse percentual existem empresas e pessoas que fazem home office.

Portanto dados como esse são um alerta, mostrando que o Blue Keep ainda pode ser explorado, gerando muitos prejuízos.

Acesso remoto Seguro

Como foi dito aqui, o intuito do artigo não é menosprezar as ferramentas, até porque existem outros protocolos como Telnet, SSH,VNC que podem ser utilizados para o acesso remoto.  

Meu objetivo é expor para você os riscos e as vulnerabilidade que pode ser exploradas por criminosos, para que você faça um acesso seguro, visando não só aquilo que é viável, mas principalmente um cuidado com os dados e informações da sua empresa.  

Esse cuidado é fundamental, principalmente agora em um cenário de grande adesão ao home office. Como é caso do Brasil, onde o trabalho remoto não era uma realidade para 51% das empresas em funcionamento, passou a ser uma saída não só de continuidade para os negócios no meio da crise, mas também uma nova alternativa para um cenário pós pandemia, já que 80% dos gestores afirmaram que aprovam a nova maneira de trabalhar.

O crescimento dos ataques explorando a vulnerabilidade do RDP e Porta TS reforça a necessidade do alerta, já que as notícias apontam um crescimento de 330% nos números. O ponto mais preocupante de uma exploração feita por meio do RDP é o nível de acesso concedido ao atacante.

Diferentemente de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação, um ataque bem sucedido ao RDP permite que ele acesse o servidor no nível do sistema operacional – até mesmo como administrador – o que amplia seus acessos e a capacidade de efeito negativo das suas ações.

Chegou a hora de você conhecer a ferramenta que ajuda a garantir um acesso remoto mais seguro.

VPN

A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz.

Restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.

A segurança do acesso remoto através da VPN é garantido porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços como a do RDP. Fazendo assim, como o firewall, uma barreira de segurança para acessar a rede.

Aliás, o firewall é uma ferramenta de Segurança da Informação fundamental dentro de em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores. Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina.

No caso do firewall, existem versões que oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para se executada. É justamente aqui que a Starti pode te ajudar.

Somos uma empresa de Segurança da Informação, especialista em pequenas e médias empresas. Desenvolvemos um firewall com VPN integrada, além de outros recursos como: IDS/IPS, Web Filter entre outras vantagens.

Saiba mais clicando no banner abaixo entre em contato com um dos nossos especialistas.

adm-firewall-banner-2-1

Aproveite e conheça outros riscos e saiba como proteger sua empresa, é só acessar a nossa tag exclusiva aqui do blog:

Conheça as Principais Vulnerabilidades Cibernéticas
A Starti vai te ajudar a entender quais são as principais vulnerabilidades do mundo cibernético e como se proteger delas usando as melhores ferramentas.
Blog de Segurança Digital da Starti

Conclusão

O acesso remoto é uma necessidade dentro do ambiente empresarial. Por isso,é importante que ele seja feito com segurança, para zelar pela proteção das informações da sua empresa. Zelar por essa segurança é caminhar compreendendo a importância da proteção dos acessos aos dados e informações da empresa, visando a continuidade dos negócios.

Nós da Starti temos caminhado no compromisso de conscientizar pequenas e médias empresas sobre a importância da Segurança das Informações, tanto para a estabilidade como para a continuidade dos negócios.

Confira mais materiais em nossos outros canais:

YouTube | Facebook | Instagram | Linkedin | Podcast Brasil inSeguro

Cola com a Starti! Vamos juntos construir um #BRASILSEGURO!

Fontes:DefCon | Hacker Security |

Mirian Fernandes

Redatora

Recomendado para você
Segurança Cibernética

Vulnerabilidade: como manter sua empresa segura?

há 4 meses • 6 min de leitura
Vulnerabilidades

Zero Day: O que é? Como se proteger dessa vulnerabilidade?

há 4 meses • 7 min de leitura
Vulnerabilidades

Mineração de Criptomoedas: Tudo que você precisa saber!

há um ano • 9 min de leitura

Não foi encontrado nada para sua busca. Que tal tentar algo diferente?

Blog de Segurança Digital da Starti © 2020   •   Publicado com Ghost

JavaScript license information

Great! You've successfully subscribed.
Great! Next, complete checkout for full access.
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.