Imagen: Getty Images/iStockphoto

Con la propagación del coronavirus en todo el mundo, cada vez más personas trabajan desde casa para practicar el distanciamiento social. Pero los trabajadores remotos siempre deben hacer su trabajo lo mejor que puedan. A veces, eso significa conectarse a una estación de trabajo o servidor dentro de la empresa para realizar tareas clave. Y para eso, muchas organizaciones con computadoras Windows confían en el Protocolo de escritorio remoto (RDP) de Microsoft. Al utilizar herramientas integradas como Conexión a escritorio remoto, los usuarios pueden acceder y trabajar con máquinas remotas.

RDP se ha visto afectado por varias vulnerabilidades de seguridad y obstáculos a lo largo de los años. En particular, 2019 dio lugar a una vulnerabilidad conocida como BlueKeep que podría permitir a los ciberdelincuentes tomar el control remoto de una PC conectada que no está parcheada correctamente. Además, los piratas informáticos utilizan continuamente ataques de fuerza bruta para intentar obtener credenciales de usuario de cuentas que tienen acceso a escritorio remoto. Si tiene éxito, pueden acceder a estaciones de trabajo o servidores remotos configurados para esa cuenta. Por estas y otras razones, las organizaciones deben adoptar ciertas medidas de seguridad para protegerse cuando usan Microsoft RDP.

VER: Cómo trabajar desde casa: guía para profesionales de TI sobre teletrabajo y trabajo remoto (Premium de TechRepublic)

En las siguientes preguntas y respuestas, Jerry Gamblin, ingeniero de seguridad principal de Kenna Security, y AN Ananth, director de estrategia del proveedor de servicios de seguridad administrados Netsurion, ofrecen sus ideas y consejos para las organizaciones que utilizan RDP.

¿Qué vulnerabilidades y agujeros de seguridad deben tener en cuenta las organizaciones con RDP?

Gamblín: Como todas las vulnerabilidades, es importante adoptar un enfoque basado en el riesgo y priorizar la corrección de las vulnerabilidades de RDP que experimentaron vulnerabilidades públicas militarizadas como CVE-2019-0708 (BlueKeep). Las vulnerabilidades de remediación sin exploits públicos armados como CVE-2020-0660 se pueden mantener de manera segura dentro de su cadencia de remediación normal.

Ananth: Se sabe que RDP, tal como se implementó en las versiones de Windows, incluido Server 2008/12 R2, 7, 8.1, 10, es vulnerable a las vulnerabilidades descritas como CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019 -1182, CVE-2019-1222 y CVE-2019-1226. A mediados de 2019, alrededor de 800 millones de usuarios se consideraban vulnerables. Los exploits para estas vulnerabilidades han estado a la venta en mercados criminales web desde 2018.

Los servidores más antiguos, que son vulnerables, suelen recibir parches en un ciclo más lento, lo que prolonga la vida útil de estas vulnerabilidades. Los rastreadores web como shodan.io permiten a los atacantes identificar rápidamente las máquinas vulnerables expuestas al público. En todo el mundo, más de dos millones de sistemas están expuestos a Internet a través de RDP, incluidos más de 500 000 en los Estados Unidos.

¿Cómo intentan los piratas informáticos y los ciberdelincuentes aprovechar las cuentas y conexiones RDP?

Gamblín: Descubrir y explotar una vulnerabilidad RDP será el primer paso en una cadena de ataque que probablemente se usaría para atacar los almacenes de datos internos y los servicios de directorio con el fin de orientarse hacia un motivo financiero o la capacidad de interrumpir las operaciones.

AnanthUna táctica común es la fuerza bruta de RDP, donde los atacantes automatizan numerosos intentos de conexión utilizando credenciales comunes, con la esperanza de que uno de ellos tenga éxito. El segundo es explotar una vulnerabilidad de software para tomar el control de un servidor RDP. Por ejemplo, los atacantes podrían explotar BlueKeep (CVE-2019-0708) para obtener el control completo de los servidores RDP sin parches de un proveedor de servicios administrados (MSP).

Un nuevo módulo en Trickbot trata específicamente de forzar cuentas RDP por fuerza bruta. Los ataques de malware Sodinokibi y GandCrab incorporan módulos RDP. El ransomware Ryuk, que ha estado particularmente activo en el primer trimestre de 2020, usa RDP para propagarse lateralmente después del punto de apoyo inicial. El ataque de RobinHood a la ciudad de Baltimore en mayo de 2019 y el ataque de SamSam a la ciudad de Atlanta en agosto de 2018 son ejemplos de ataques lanzados por RDP.

¿Qué opciones de seguridad deberían tener las organizaciones para protegerse mejor contra las amenazas a las cuentas y conexiones RDP?

Gamblín: Sin muchas excepciones, todas las instancias de RDP deben requerir múltiples niveles de controles de acceso y autenticación. Esto incluiría el uso de una VPN para acceder a una instancia de RDP y requerir un segundo factor (como Duo) para la autenticación. Algunas organizaciones grandes colocan RDP directamente en Internet, pero la mayoría (con suerte) lo hace sin saberlo. Verificar esto es bastante simple; simplemente inicie su escáner de Internet favorito y examine todas las instancias de RDP directamente expuestas.

Ananth: Hay defensas integradas y gratuitas que pueden asegurar RDP. Éstos incluyen:

  • Parche: Mantenga los servidores especialmente actualizados.
  • Contraseñas complejas: También use autenticación de dos factores e implemente políticas de bloqueo.
  • Puerto predeterminado: Cambie el puerto predeterminado utilizado por RDP de 3389 a otro a través del registro.
  • Ventana del cortafuegos: Utilice el firewall de Windows incorporado para restringir las sesiones RDP por dirección IP.
  • Autenticación de nivel de red (NLA): Habilite NLA, que no está predeterminado en versiones anteriores.
  • Limite el acceso RDP: Restrinja el acceso RDP a un grupo específico de usuarios. No permita que ningún administrador de dominio acceda a RDP.
  • Acceso RDP al túnel: Acceso al túnel a través de IPSec o Secure Shell (SSH).

Sin embargo, aunque hayas tomado todas estas medidas de prevención y endurecimiento, no se puede garantizar la seguridad. Supervise el uso de RDP. Busque comportamientos anormales y observados por primera vez. Una sucesión de intentos fallidos seguidos de un intento exitoso indica una suposición de contraseña de fuerza bruta exitosa. Una solución de gestión de eventos e información de seguridad (SIEM) con capacidades de correlación efectivas puede identificar rápidamente tales intentos.