O Windows Remote Desktop Protocol (ou somente RDP), é um protocolo multicanal que permite um usuário se conectar a um computador rodando o Microsoft Terminal Services (antigo Terminal Service) para um acesso remoto.
Essa ferramenta é empregada para permitir o acesso remoto de uma máquina a outra. Geralmente este recurso é utilizado pelas empresas para acessarem máquinas e/ou servidores fora do ambiente físico de trabalho, seja pelo diretor, chefe, ou a equipe do suporte técnico que necessita acessar essas máquinas de maneira remota para algum tipo de ajuste.
O Terminal Services e o RDP são recursos do Windows, mas existem outras ferramentas de outras empresas que realizam essa função, falarei delas ao longo deste artigo.
Antes de falar sobre as outras ferramentas, é importante saber que quando pensamos em acesso remoto precisamos entender os riscos que esse tipo de acesso gera, e quais as vulnerabilidades na utilização destes recursos.
Isso porque Terminal Server e o RDP abrem a porta 3389, tornando-a pública para a conexão na área de trabalho remota, que permite esse acesso entre dois computadores, através de uma rede local ou através da internet.
Esse serviço precisa ser habilitado, mas geralmente a equipe de suporte técnico já deixa o mesmo configurado para facilitar o acesso remoto para resolver possíveis problemas à distância.
Tendo em vista essa questão, é muito importante pensarmos como esses recursos podem ser explorados em um ataque, bem como evitar que isso aconteça, garantindo um acesso remoto seguro, e cuidando assim da segurança das informações da empresa.
Mas como isso é possível? E quais ataques já ocorrem explorando essa vulnerabilidade?
Bem, é isso que você vai descobrir neste artigo! Pronto? Então vamos lá!
Ataques que exploram o RDP
De uma forma geral, a tecnologia tem seus benefícios mas também riscos. Quando pensamos em cenários de empresas, ou até mesmo uma máquina específica, os riscos - que são as possibilidades a serem exploradas - geram as vulnerabilidades. As vulnerabilidades são as brechas exploradas para a execução de um ataque.
Algumas falhas de grande repercussão já foram associadas ao RDP, como a EsteemAudit, ferramenta que a NSA criou e foi vazada pelo grupo hacker Shadow Brokers.
É importante ressaltar que o intuito ao relatar os ataques e problemas não é menosprezar tais recursos, mas expor os risco e conscientizar.
Pois um hacker mal intencionado pode utilizar um software para escanear e identificar o IP, e as portas abertas referente aquele IP. Uma vez identificada, uma porta de acesso pode ser explorada em um ataque.
Como por exemplo o ataque de força bruta, que é a tentativa de acesso indevido com tentativa de logins sucessivos com base em dicionário de senhas comumente utilizadas.
Em nosso artigo: BRUTE FORCE: como estar fortemente protegido! contamos a você tudo sobre esse ataque.
Além desse ataque, o vazamento de credenciais de acesso podem possibilitar ataques de sequestro de dados.
No dia 13 de março foi divulgada nova vulnerabilidade do protocolo Credential Security Support Provider (CredSSP), que é utilizado pelo RDP.
Ela atinge todas as versões de Windows e, independentemente de o usuário possuir uma senha forte, o computador pode ser explorado, pois o RDP vulnerável permitiria a injeção arbitrária de código a partir de ataques man-in-the-middle.
Vejamos um ataque ocorrido, e uma nova vulnerabilidade que surge para explorar esse risco:
Zakrytye
Um exemplo concreto das consequências negativas do uso inadequado do RDP ocorreu há poucos dias promovido pela nova equipe Zakrytye.
Num ataque efetuado contra a Câmara Municipal de Araguacema o grupo ganhou acesso ao servidor por meio da exploração de falha no RDP. Veja no vídeo baixo, que foi publicado por um dos integrantes da equipe, HaxStroke como o ataque ocorreu:
Uma das consequências do ataque foi o vazamento de dados da Câmara Municipal de Araguacema.
BlueKeep- A nova vulnerabilidade
Uma nova vulnerabilidade foi divulgada pelo Patch Tuesday de maio e rastreada pelo CVE-2019-0708; a vulnerabilidade foi batizada de BlueKeep.
A BlueKeep é uma vulnerabilidade no serviço RDP (Remote Desktop Protocol) e afeta apenas as versões mais antigas do sistema da Microsoft (XP, W7, W7SP1, Server 2008 todos).
Esse protocolo é baseado nos padrões de protocolos T120 e tem a capacidade de proporcionar multicanais virtuais para transporte de dados de apresentação e comunicação (teclado e mouse), permitindo a conexão remota e controle total do dispositivo Windows que esteja com esse serviço ativo.
Por padrão, o servidor escuta a porta TCP 3389, e foi projetado para se adequar a diversas topologias de rede.Todas essas características do RDP é que tornam essa vulnerabilidade tão preocupante.
A BlueKeep não necessita de um usuário autenticado ou de uma interação direta do usuário alvo, permitindo um acesso direto sem grandes barreiras, bastando “apenas” enviar solicitações especialmente criadas para o sistema a ser atacado.
Apesar da Microsoft ainda não ter registrado nenhuma exploração efetiva, essa vulnerabilidade é preocupante pois estima-se que ao menos cerca de 1 milhão de dispositivos estão sujeitos à falha (número muito menor do que o inicialmente previsto – 7 milhões – mas ainda assim um número consideravelmente grande).
Você pode conferir um pouco mais sobre sobre essa falha no site da Hacker Security.
Acesso remoto Seguro
Como foi dito aqui, o intuito do artigo não é menosprezar as ferramentas, até porque existem outros protocolos como Telnet, SSH,VNC que podem ser utilizados para o acesso remoto.
O objetivo é expor para você os riscos e as vulnerabilidade que pode ser exploradas por criminosos, para que você faça um acesso seguro, visando não só aquilo que é viável, mas principalmente um cuidado com os dados e informações da sua empresa.
O ponto mais preocupante de uma exploração feita por meio do RDP é o nível de acesso que concede ao atacante.
Diferentemente de uma invasão de aplicação web, onde o atacante em regra está limitado ao escopo da aplicação, um ataque bem sucedido ao RDP permite que ele acesse o servidor no nível do sistema operacional – até mesmo como administrador – o que amplia seus acessos e a capacidade de efeito negativo das suas ações.
Tendo em vista isso, vejamos uma ferramenta que ajudará a garantir um acesso remoto mais seguro.
VPN
A VPN é uma abreviação, que vem do inglês Virtual Private Network, traduzindo: Rede Virtual Privada. Ela funciona como uma rede de comunicações entre computadores, possibilitando ao usuário final o acesso de um serviço em uma máquina específica, ou de rede para rede, no caso de uma filial para uma matriz.
Restringindo o acesso a quem tem as credenciais necessárias estabelecidas nas configurações do mesmo.
A segurança do acesso remoto através da VPN se dá porque ela gera “um túnel de acesso restrito”, não necessitando de uma porta de acesso aberta para execução dos serviços como a do RDP. Fazendo assim, como o firewall, uma barreira de segurança para acessar a rede.
Aliás, o firewall é uma ferramenta de Segurança da Informação fundamental quando pensamos em um ambiente empresarial, porque ele é uma ferramenta que limita o acesso às portas e janelas do computador e, assim, impede a entrada de invasores.
Dessa forma, somente usuários autorizados terão permissão para algumas funcionalidades da máquina.
No caso do firewall, existem versões que oferecem a VPN como parte do mesmo, necessitando apenas de ser configurada para se executada. Esse é o caso do AdmFirewall. Saiba mais clicando no banner abaixo:
É fundamental que você saiba, como já falamos em outros artigos, que a Segurança das Informações abrange uma série de ações e ferramentas. No caso apresentado aqui, tratamos de uma vulnerabilidade que pode ser explorada por um criminoso, de fora para dentro.
Mas existem muitas outras que poderão ser usadas para executar ataques, tanto de fora para dentro, como de dentro para fora. Por isso as demais ferramentas como antivírus, WebFilter, IDS/IPS e ações como um todo que visam proteger as informações e dados da empresa são fundamentais.
Preparamos uma tag especialmente para que você conheça outras vulnerabilidades, as ferramentas e ações que podem garantir a segurança das informações da sua empresa. Clique na aba no topo do blog e confira.
Conclusão
Como vimos, o acesso remoto é uma necessidade dentro do ambiente empresarial. Porém, ele pode oferecer um risco à segurança das informações, caso seja feito sem a devida proteção.
Zelar por essa proteção é caminhar compreendendo a importância da proteção dos acessos aos dados e informações da empresa.
Nós da Starti temos caminhado no compromisso de conscientizar pequenas e médias empresas sobre a importância da Segurança das Informações, tanto para a estabilidade como para a continuidade dos negócios.
Pensando nisso, separamos outros artigos que tratam dessa importância, confira:
