RDP e porta TS: Como elas podem oferecer um risco a Segurança da Informação

by Mirian Fernandes há 6 meses 7 min read

O Windows Remote Desktop Protocol (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.

Essa ferramenta é empregada para permitir o acesso remoto de uma máquina a outra. Geralmente este recurso é utilizado pelas empresas para acessarem máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico que necessita acessar essas máquinas de maneira remota para algum tipo de ajuste.

Quando falamos sobre acesso remoto existem muitos riscos envolvidos, principalmente às informações e dados da empresa.

A saber: falhas no sistema que exclui arquivos que não possuem uma cópia de segurança - backup -, o roubo de uma senha - brute force - ou até erros do próprio computador. Tudo isso pode gerar grandes prejuízos para os negócios.

A exploração dentro dessa ferramenta se dá porque o Terminal Server e o RDP abre a porta 3389, tornando pública a conexão na área de trabalho remota, permitindo o acesso entre dois computadores, através de uma rede local ou da internet.

Esse serviço precisa ser habilitado, mas geralmente a equipe de suporte técnico já deixa o mesmo configurado para facilitar o acesso remoto podendo resolver possíveis problemas à distância.

Diante dessa questão, é muito importante você entender como esses recursos podem ser explorados em um ataque e o que fazer para garantir um acesso remoto seguro, cuidando assim da segurança das informações da empresa.

Neste artigo você vai descobrir:

Ataques que exploram o RDP;
Como garantir um acesso remoto seguro;

Pronto? Então vamos lá!

Ataques que exploram o RDP

Como já sabemos, a tecnologia tem benefícios mas também riscos. E dentro de um cenário empresarial, esses riscos apresentam-se como vulnerabilidades, brechas exploradas para a execução de ataques cibernéticos.

Os criminosos utilizam essas brechas para obter lucros roubando informações e executando vazamento de dados.

Algumas falhas de grande repercussão já foram associadas ao RDP, como a Esteem Audit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.

É importante ressaltar que o meu intuito ao relatar os ataques e problemas não é menosprezar a ferramenta, mas expor os riscos e conscientizar.

Afinal, um cracker pode utilizar um software para escanear e identificar o IP, e as portas abertas referentes aquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.

Como é o caso do ataque de força bruta, a tentativa de acesso indevido com logins sucessivos baseados em um dicionário de senhas comumente utilizadas.

Descubra mais sobre esse ataque em nosso artigo:

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware. Em 2018 foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.

Ela atinge todas as versões de Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois, o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle (homem no meio).

Desde então, a RDP vem sendo explorada em ciberataques. A seguir mostrarei um exemplo de ataque ocorrido, e, uma nova vulnerabilidade que surgiu explorando esse risco.

Zakrytye

Um tipo concreto das consequências do uso inadequado do RDP ocorreu no ano de 2018, promovido pela nova equipe Zakrytye. Um ataque efetuado contra a Câmara Municipal de Araguacema o grupo ganhou acesso ao servidor por meio da exploração de falha no RDP.

Um vídeo publicado por um dos integrantes da equipe explica como esse ataque ocorreu. Você pode assistir clicando aqui: HaxStroke. Uma das graves consequências do ataque foi o vazamento de dados da Câmara Municipal de Araguacema.

BlueKeep

Outra vulnerabilidade utilizando o RDP foi divulgada pelo Patch Tuesday: a Blue Keep. A Blue Keep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).

O protocolo é baseado nos padrões de protocolos T120 e consegue proporcionar multi canais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.

Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede. Todas essas características do RDP é que tornam essa vulnerabilidade tão preocupante.

A Blue Keep não necessita de um usuário autenticado ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.

O alerta em relação a essa vulnerabilidade se dá por uma falha bem como: sistemas desatualizados, por isso a Microsoft deixou uma alerta:

“Uma ameaça que pode se propagar de um computador vulnerável a outro, do mesmo jeito que ocorreu com o malware WannaCry, que infestou máquinas do mundo todo em 2017”.

É necessário que os usuários e empresas fiquem atentos a essa ameaça, pois como vimos ela afeta as versões: Windows 7, Windows Server 2008 R2 e Windows Server 2008.

Se tratando especificamente do Windows 7, quase 40% dos PC no Brasil ainda utilizam essa versão; dentro desse percentual existem empresas e pessoas que fazem home office.

Portanto, dados como esse são um alerta, mostrando que o Blue Keep ainda pode ser explorado, gerando muitos prejuízos.

Acesso remoto Seguro

Como foi dito aqui, o intuito do artigo não é menosprezar as ferramentas, até porque existem outros protocolos como Telnet, SSH,VNC que podem ser utilizados para o acesso remoto.

Meu objetivo é expor para você os riscos e as vulnerabilidades que pode ser exploradas por criminosos, para que você faça um acesso seguro, visando não só aquilo que é viável, mas principalmente um cuidado com os dados e informações da sua empresa.

Esse cuidado é fundamental, principalmente agora em um cenário de grande adesão ao home office. Como é caso do Brasil, onde o trabalho remoto não era uma realidade para 51% das empresas em funcionamento, passou a ser uma saída não só de continuidade para os negócios no meio da crise, mas também uma nova alternativa para um cenário pós pandemia, já que 80% dos gestores afirmaram que aprovam a nova maneira de trabalhar.

O crescimento dos ataques explorando a vulnerabilidade do RDP e Porta TS reforça a necessidade do alerta, já que as notícias apontam um crescimento de 330% nos números. O ponto mais preocupante de uma exploração feita por meio do RDP é o nível de acesso concedido ao atacante.

Diferentemente de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação, um ataque bem-sucedido ao RDP permite que ele acesse o servidor no nível do sistema operacional – até mesmo como administrador – o que amplia seus acessos e a capacidade de efeito negativo das suas ações.

Chegou a hora de você conhecer a ferramenta que ajuda a garantir um acesso remoto mais seguro.

VPN

A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz.

Restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.

A segurança do acesso remoto através da VPN é garantido porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços como a do RDP. Fazendo assim, como o firewall, uma barreira de segurança para acessar a rede.

Aliás, o firewall é uma ferramenta de Segurança da Informação fundamental dentro de em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores.

Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina.

No caso do firewall, existem versões que oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para se executada. É justamente aqui que a Starti pode te ajudar.

Somos uma empresa de Segurança da Informação, especialista em pequenas e médias empresas. Desenvolvemos um firewall com VPN integrada, além de outros recursos como: IDS/IPS, Web Filter entre outras vantagens.

Saiba mais clicando no banner abaixo entre em contato com um dos nossos especialistas.

Aproveite e conheça outros riscos e saiba como proteger sua empresa, é só acessar a nossa tag exclusiva aqui do blog:

Conclusão

O acesso remoto é uma necessidade no ambiente empresarial. Por isso,é importante que ele seja feito com segurança, para zelar pela proteção das informações da sua empresa.

Zelar por essa segurança é caminhar compreendendo a importância da proteção dos acessos aos dados e informações da empresa, visando a continuidade dos negócios.

Nós da Starti temos caminhado no compromisso de conscientizar pequenas e médias empresas sobre a importância da Segurança das Informações, tanto para a estabilidade como para a continuidade dos negócios.

Confira mais materiais em nossos outros canais:

YouTube | Facebook | Instagram | LinkedIn | Podcast Brasil inSeguro

Cola com a Starti! Vamos juntos construir um #BRASILSEGURO!

Fontes:

DefCon | Hacker Security

Mirian Fernandes

Redatora