Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Vulnerabilidades

RDP e porta TS: como evitar explorações ao protocolo no acesso remoto

by Mirian Fernandes 7 min read

O que é RDP?

O Windows Remote Desktop Protocol, (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.

Como funciona o Remote Desktop Protocol?

Geralmente, este recurso é utilizado pelas empresas para acessar máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico, que precisa acessar essas máquinas de maneira remota para algum tipo de ajuste.

Basicamente, o protocolo RDP funciona de maneira bidirecional:

  • Transferindo a saída de tela do servidor para o cliente
  • Transferindo a entrada de teclado e mouse do cliente para o servidor.

Se tratando de acesso remoto, existem muitos riscos envolvidos, principalmente para a segurança das informações e dados da empresa.

Por isso, é muito importante você entender como esses recursos podem ser explorados e como garantir um acesso remoto seguro, protegendo as informações da empresa.

RDP: ataques que exploram a vulnerabilidades

Apesar da necessidade de ser habilitado, geralmente, a equipe de suporte técnico já deixa o serviço configurado, para facilitar o acesso remoto e a resolução de problemas à distância.

Como ocorre a exploração ao RDP?

A exploração desta ferramenta se dá porque o Terminal Server e o RDP abre a porta 3389, tornando pública a conexão na área de trabalho remota, permitindo o acesso entre dois computadores, através de uma rede local ou da internet.

É essa vulnerabilidade que os cibercriminosos exploram, utilizando essas brechas para obter lucros, roubando informações e executando vazamento de dados.

Algumas falhas de grande repercussão já foram associadas ao RDP, como a Esteem Audit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.

Vale a pena ressaltar: o nosso intuito ao relatar os ataques e problemas não é menosprezar a ferramenta, mas expor os riscos e conscientizar.

Afinal, um cibercriminoso pode utilizar um software para escanear e identificar o IP, e as portas abertas referentes àquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.

Brute force e ransomware

Os atacantes também podem explorar vulnerabilidades associadas a configurações incorretas, a saber:

  • Credenciais de logins do usuário fracas
  • Ausência de monitoramento e registro em servidores onde o ocorre logins RDP
  • Ausência de filtragem de rede

Em todos esses exemplos, os cibercriminosos podem executar ataques de força bruta, realizando a tentativa de acesso indevido com logins sucessivos, baseados em um dicionário de senhas comumente utilizadas.

Conheça todas as estratégias do brute force acessando nosso artigo completo sobre essa ameaça:

Brute Force: Tudo que você precisa saber!
Brute force é literalmente “força bruta”, termo utilizado para descrever um tipo de ataque onde se força a entrada em algum sistema, site, servidor, aplicativo, etc. A técnica utilizada se dá através de sucessivas tentativas de acertar uma combinação de senha (uma chave), e assim conseguir acesso …
Mirian FernandesBlog Starti - Tudo sobre Cibersegurança

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware.

Em 2018 foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.

Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados, o famoso ransomware. Em 2018, foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), utilizado pelo RDP.

Espiando o tráfego (man in the middle)

Ela atinge todas as versões do Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois, o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle (homem no meio).

Desde então, a RDP vem sendo explorada em ciberataques. Em 2020, os ataques que exploram essa vulnerabilidade cresceram cerca de 242%, devido à alta de home office no Brasil.

Ataque DoS

Criminosos utilizam combinações de ataques para obter acesso às credenciais RDP. Após obter as senhas e acessos por meio do ataque de força bruta, o atacante  pode executar uma negação de serviço (DoS) contra a memória ou armazenamento do sistema operacional, interrompendo seu funcionamento normal e impedindo que outros usuários o acessem.

Engenharia Social: manipulando o acesso remoto

A manipulação e indução psicológica é um ingrediente fundamental no sucesso das táticas dos criminosos digitais. Esse elemento pode ser percebido na exploração do RDP e Porta TS. Em uma publicação recente do fórum Reddit, um usuário relatou um golpe de engenharia social:

Alguém da China pediu para utilizar o seu computador remotamente, em troca de pagamento, um golpista à procura da presa mais fácil, à distância de um clique.

Nesta situação, fica claro a combinação da vulnerabilidade do acesso remoto com a manipulação aplicada, com objetivo de obter dinheiro fácil.

BlueKeep

Outra vulnerabilidade utilizando o RDP foi divulgada pelo Patch Tuesday: a Blue Keep. A Blue Keep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol), e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).

O protocolo é baseado nos padrões de protocolos T120, e consegue proporcionar multi canais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.

Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede. Todas essas características do RDP é o que torna essa vulnerabilidade tão preocupante.

A Blue Keep não necessita de um usuário autenticado, ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.

É necessário que os usuários e empresas fiquem atentos a essa ameaça, pois  afeta as versões: Windows 7, Windows Server 2008 R2 e Windows Server 2008.

Em dezembro de 2021, o Windows 7 ainda estava instalado em cerca de 12,9% de todos os computadores do mundo, segundo os dados do Statista. Um percentual que envolve empresas e pessoas que fazem home office.

Acesso remoto seguro: um caminho para evitar explorações ao RDP

Mesmo com a mudança de cenário da pandemia e retorno às atividades presenciais, muitas empresas permanecem com o modelo híbrido, mesclando o home office com as atividades locais.

Segundo a 18ª edição do Índice de Confiança Robert Half, o modelo está sendo usado neste ano por 48% das empresas entrevistadas no Brasil. Ou seja, muitas empresas seguem realizando acesso remoto, expondo a importância de proteção para esse cenário.

Uma informação importante, é que o ataque RDP difere-se de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação.

Na exploração do RDP, o criminoso tem acesso ao servidor no nível do sistema operacional — até mesmo como administrador —  ampliando seus acessos e a capacidade de efeito negativo das suas ações.

Conheça a ferramenta que garante um acesso remoto mais seguro.

VPN

A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz,restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.

A segurança do acesso remoto através da VPN é garantido, porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços, como a do RDP.

Fazendo assim como um firewall, a VPN se torna uma barreira de segurança para acessar a rede.

O firewall é uma ferramenta de segurança cibernética, fundamental em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores.

Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina. Os firewalls modulares oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para ser executada.

É o caso do Starti Security Plataform.

Desenvolvido de maneira modularizada, focado nas principais demandas de segurança das empresas, possibilitando a prevenção, o monitoramento e a mitigação de ameaças na rede e na superfície da web.

Descubra recursos como:

  • Firewall/VPN
  • IDS/IPS
  • Web Filter
  • Orquestração inteligente de links

Além disso, possuímos um programa de parceria focado no crescimento de receita recorrente e escalabilidade de negócio nas empresas de TI, tornando-as aptas a criarem uma frente de trabalho que venda, entregue e gerencie segurança e disponibilidade como serviço.

Clique no banner abaixo e fale com um de nossos especialistas.

banner-parceria-1

RDP: dicas finais para um gerenciamento de riscos

Além de cuidar do acesso remoto através da VPN, é possível aplicar um gerenciamento de riscos e aumentar a segurança do uso do RPD. Alguns exemplos práticos:

  • Desenvolva uma política de senhas e logins, restringindo o uso de senhas fracas para o RDP
  • Limite e acompanhe o acesso remoto
  • Bloqueie a porta 3389

Aplique um monitoramento de artefatos forenses, a saber:

  • Comandos quser, qwinsta e qprocess que fornecem informações sobre usuários, sessões e processos do RDP
  • Microsoft-Windows-Terminal-Services-RemoteConnectionManager e Windows-TerminalServices-LocalSessionManager informam sobre as conexões de rede do cliente e o início e a parada das sessões RDP
  • E, por fim, o Microsoft-Windows-Security-Auditing inclui os eventos para tentativas de autenticação bem-sucedidas ou com falha.

O acesso remoto é uma necessidade no ambiente empresarial. RDP é uma ferramenta facilitadora para tal ação, por isso, é importante que ele seja feito com segurança, para zelar pela proteção das informações da sua empresa.

Confira mais materiais em nossos outros canais:


Read more posts by this author

Mirian Fernandes

Redatora da Starti

The link has been copied!