El Protocolo de escritorio remoto (RDP) de Microsoft es una forma popular y omnipresente de acceder, controlar y administrar computadoras remotas tanto para individuos como para organizaciones. RDP es la tecnología subyacente de Microsoft Remote Desktop Connection (RDC), una herramienta integrada en Windows pero que también está disponible para otras plataformas como macOS, iOS y Android. Pero su popularidad hace que RDP sea una vía tentadora y explotable para que los piratas informáticos obtengan acceso a computadoras remotas. Afortunadamente, hay pasos que puede seguir para controlar y personalizar RDP en su organización para protegerla mejor de los atacantes, según el Informe Spotlight 2019 de Vectra sobre RDP publicado el miércoles.

Debido a su uso generalizado, RDP es una superficie de ataque vulnerable y probablemente seguirá siéndolo en el futuro previsible, según Vectra. De hecho, los atacantes cibernéticos generalmente siguen el "camino de menor resistencia" en sus esfuerzos por piratear computadoras y sistemas. La estrategia es tratar de utilizar las herramientas administrativas existentes para obtener acceso a una red, luego introducir malware para demarcar el entorno del objetivo y, en última instancia, robar los datos de una organización.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (República Tecnológica)

Vectra detectó 26 800 comportamientos sospechosos de RDP en más de 350 implementaciones de enero a junio de 2019, según el informe. El 90 % de las 350 implementaciones tuvieron detecciones de comportamiento de ataques RDP. Las organizaciones financieras y de fabricación se vieron afectadas por el nivel más alto de detecciones de RDP con 10 y 8 detecciones por cada 10 000 cargas de trabajo y dispositivos, respectivamente. Más allá de estas dos industrias, el comercio minorista, el gobierno y la atención médica se encontraban entre los cinco principales sectores en riesgo de detecciones de ataques RDP.

Vectra

En septiembre de 2018, el FBI advirtió que el uso malicioso de RDP "ha ido en aumento desde mediados o finales de 2016", señala el informe de Vectra. Varios ataques de ransomware, como Samsam y CrySiS, han utilizado RDP para moverse lateralmente dentro de las redes. En su advertencia, la agencia incluso aconsejó a las empresas que deshabiliten RDP si no es necesario.

Pero muchas organizaciones sopesan los beneficios de usar RDP frente a la posibilidad de que un hacker obtenga acceso. En particular, es probable que los gerentes de TI de las empresas manufactureras prefieran los enormes ahorros de tiempo y costos de la administración centralizada que ofrece RDP al riesgo abstracto potencial de que un atacante cibernético lo explote, dice el informe. RDP también brinda valor comercial a las empresas porque les permite administrar de manera centralizada las computadoras y los sistemas en todo el mundo.

¿Por qué RDP es tan vulnerable como protocolo de conexión? ¿Tiene debilidades inherentes o se configura demasiado a menudo de tal manera que es susceptible de explotación?

Es cierto que RDP está sujeto a vulnerabilidades de seguridad, que se descubren regularmente, lo que obliga a Microsoft a alertar a los usuarios y corregir las vulnerabilidades. En agosto, Microsoft anunció varias vulnerabilidades RDP nuevas que podrían ejecutarse sin las credenciales adecuadas o la entrada del usuario, lo que permite a un atacante acceder y controlar un sistema de forma remota. En ese anuncio, incluso Microsoft recomendó deshabilitar los Servicios de escritorio remoto si no fueran necesarios. Pero sigue siendo el uso generalizado de RDP lo que lo convierte en un objetivo abierto.

"RDP no es más ni menos vulnerable que cualquier otro protocolo administrativo, lo que significa que la fortaleza de RDP depende de la fortaleza de la autenticación administrativa utilizada dentro de la organización", dijo Chris Morales, jefe de análisis de seguridad de TI en Vectra, a TechRepublic en un correo electrónico. . "Lo que hace que RDP sea atractivo es la ubicuidad del protocolo, ya que RDP ha estado presente en todos los sistemas Windows desde 1996 y se usa ampliamente en todas las industrias. RDP tiene exploits que permiten a un atacante eludir la autenticación y ejecutar su código en un sistema remoto, pero es lo mismo que cualquier software.

Por el contrario, las debilidades de RDP suelen residir en su configuración o en su mala configuración.

“El problema con RDP con mayor frecuencia radica en la configuración y el despliegue dentro de las propias organizaciones”, dijo Morales a TechRepublic. "Hay instancias de acceso administrativo compartido, RDP expuesto a Internet y una falta general de conocimiento de cómo se usa RDP dentro de la organización".

El primer paso para proteger RDP de manera más efectiva de la explotación es controlar el acceso a él.

"Las organizaciones deben limitar el acceso a la administración de escritorios remotos y usar una autenticación fuerte", dijo Morales. Y las empresas deben asumir que es posible una compensación y centrarse en saber quién, qué, dónde y cuándo acceder al escritorio remoto. Esto incluye asignar correctamente los derechos de acceso de los usuarios y reducir las instancias de credenciales compartidas para que las organizaciones puedan concentrarse en cómo y cuándo se usa ese acceso.

El siguiente paso es monitorear el uso de RDP.

“El monitoreo de los comportamientos de acceso remoto es clave para aumentar la capacidad de detección de reconocimiento interno y movimientos laterales de un atacante cibernético dentro de la red de la organización”, agregó Morales. “La visibilidad de este comportamiento y otros atacantes depende de la implementación de herramientas apropiadas con visibilidad de los comportamientos de la red”.

Más allá de estos consejos, las organizaciones deben mantenerse al día con los nuevos exploits descubiertos en RDP a través de los boletines de soporte de Microsoft y descargar los parches necesarios. Un artículo de Machine Design titulado Five Issues Facing Secure Remote Access to IIoT Machines también ofrece consejos útiles para administrar RDP, especialmente en un entorno de fabricación.

Imagen: iStockphoto/ktsimage