Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Vulnerabilidades

RDP e porta TS: Como elas podem oferecer um risco a Segurança da Informação

by Mirian Fernandes 6 min read

O Windows Remote Desktop Protocol (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.

Essa ferramenta é empregada para permitir o acesso remoto de uma máquina a outra.

Geralmente este recurso é utilizado pelas empresas para acessarem máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico que precisa acessar essas máquinas de maneira remota para algum tipo de ajuste.

Se tratando de acesso remoto, existem muitos riscos envolvidos, principalmente às informações e dados da empresa.

A exploração dessa ferramenta se dá porque o Terminal Server e o RDP abre a porta 3389, tornando pública a conexão na área de trabalho remota, permitindo o acesso entre dois computadores, através de uma rede local ou da internet.

Apesar da necessidade de ser habilitado, geralmente a equipe de suporte técnico já deixa o serviço configurado, para facilitar o acesso remoto e a resolução de problemas à distância.

Sendo assim, é muito importante você entender como esses recursos podem ser uma vulnerabilidade e como garantir um acesso remoto seguro, protegendo as informações da empresa.

Neste artigo você descobrirá:

  • Ataques que exploram o RDP
  • Como garantir um acesso remoto seguro

Ataques que exploram o RDP

Os criminosos utilizam essas brechas para obter lucros roubando informações e executando vazamento de dados.

Algumas falhas de grande repercussão já foram associadas ao RDP, como a Esteem Audit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.

Vale a pena ressaltar: o meu intuito ao relatar os ataques e problemas não é menosprezar a ferramenta, mas expor os riscos e conscientizar.

Afinal, um cibercriminoso pode utilizar um software para escanear e identificar o IP, e as portas abertas referentes aquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.

Como é o caso do ataque de força bruta, a tentativa de acesso indevido com logins sucessivos baseados em um dicionário de senhas comumente utilizadas.

Descubra mais sobre esse ataque em nosso artigo:

Brute Force: Tudo que você precisa saber!
Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde força-se a entrada em algum sistema, site, servidor, aplicativo, etc. A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso às…
Mirian FernandesBlog de Segurança Digital da Starti

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware.

Em 2018 foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.

Espiando o tráfego (man in the middle)

Ela atinge todas as versões de Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois, o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle (homem no meio).

Desde então, a RDP vem sendo explorada em ciberataques. Em 2020, os ataques que exploram essa vulnerabilidade cresceram cerca de 242%, devido à alta de home office no Brasil.

Ataque DoS

Criminosos utilizam combinações de ataques para obter acesso às credenciais RDP. Após obter as senhas e acessos por meio do ataque de força bruta, o atacante  pode executar uma negação de serviço (DoS) contra a memória ou armazenamento do sistema operacional, interrompendo seu funcionamento normal e impedindo que outros usuários o acessem.

Anuncio-Missao-Firewall-1

Engenharia Social: manipulando o acesso remoto

A manipulação e indução psicológica é um ingrediente fundamental no sucesso das táticas dos criminosos digitais. Esse elemento pode ser percebido na exploração do RDP e Porta TS. Em uma publicação recente do fórum Reddit, um usuário relatou um golpe de engenharia social:

Alguém da China pediu para utilizar o seu computador remotamente, em troca de pagamento, um golpista a procura da presa mais fácil, a distância de um clique.

Nessa situação fica claro a combinação da vulnerabilidade do acesso remoto com a manipulação aplicada com objetivo de obter dinheiro fácil.

BlueKeep

Outra vulnerabilidade utilizando o RDP foi divulgada pelo Patch Tuesday: a Blue Keep. A Blue Keep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).  

O protocolo é baseado nos padrões de protocolos T120 e consegue proporcionar multi canais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.  

Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede. Todas essas características do RDP é que tornam essa vulnerabilidade tão preocupante.

A Blue Keep não necessita de um usuário autenticado ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.

É necessário que os usuários e empresas fiquem atentos a essa ameaça, pois  afeta as versões: Windows 7, Windows Server 2008 R2 e Windows Server 2008.

No caso do Windows 7, quase 40% dos PC no Brasil ainda utilizam essa versão; dentro desse percentual existem empresas e pessoas que fazem home office.

Acesso remoto Seguro

O cuidado com acesso remoto é fundamental, principalmente agora em um cenário de grande adesão ao home office. Como é caso do Brasil, onde o trabalho remoto não era uma realidade para 51% das empresas em funcionamento, passou a ser uma saída.

Os dados apontam que 80% dos gestores aprovaram o modelo home office em 2020. Com isso, o crescimento dos ataques explorando a vulnerabilidade do RDP e Porta TS de 330% expõem que a necessidade de proteção nesse cenário é urgente.

Uma informação importante é que o ataque RDP difere-se de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação.

Na exploração do RDP o criminoso tem acesso ao servidor no nível do sistema operacional – até mesmo como administrador –  ampliando seus acessos e a capacidade de efeito negativo das suas ações.

Conheça a ferramenta que garante um acesso remoto mais seguro.

VPN

A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz.

Restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.

A segurança do acesso remoto através da VPN é garantido porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços como a do RDP. Fazendo assim, como o firewall, uma barreira de segurança para acessar a rede.

Aliás, o firewall é uma ferramenta de Segurança da Informação fundamental dentro de em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores.

Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina.

No caso do firewall, existem versões que oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para se executada. É justamente aqui que a Starti pode te ajudar.

Somos uma empresa de Segurança da Informação, especialista em pequenas e médias empresas. Desenvolvemos um firewall com VPN integrada, além de outros recursos como: IDS/IPS, Web Filter entre outras vantagens.

Além disso, possuímos um programa de parceria focado no crescimento de receita recorrente e escalabilidade de negócio nas empresas de TI, tornando-as aptas a criarem uma frente de trabalho que venda, entregue e gerencie segurança e disponibilidade como serviço.

Clique no banner abaixo e fale com um de nossos especialistas.

banner-parceria-2

Conclusão

O acesso remoto é uma necessidade no ambiente empresarial. Por isso,é importante que ele seja feito com segurança, para zelar pela proteção das informações da sua empresa.

Zelar por essa segurança é caminhar compreendendo a importância da proteção dos acessos aos dados e informações da empresa, visando a continuidade dos negócios.

Nós da Starti temos caminhado no compromisso de conscientizar pequenas e médias empresas sobre a importância da segurança da informação, para a estabilidade e continuidade dos negócios.

Confira mais materiais em nossos outros canais:

YouTube | Facebook | Instagram | LinkedIn | Podcast Távola Redonda

Cola com a Starti! Vamos juntos construir um #BRASILSEGURO!

Fontes

DefCon | Hacker Security | SolarWinds Msp

Read more posts by this author

Mirian Fernandes

Redatora da Starti

The link has been copied!