Defensa contra ataques de protocolo de escritorio remoto

Hola geek ! Aquí Federico en un nuevo tutorial para ustedes !
Espero que les solucione su problema y nos vemos en la próxima

A partir del 5 de febrero de 2019, shodan.io muestra un total de 2.430.941 equipos conectados a Internet mediante un escritorio remoto. De estos, 507.957 pertenecen a ordenadores de Estados Unidos. Este volumen de servidores y estaciones de trabajo, representado en la figura siguiente, está cada vez más sometido a ciberataques.

Desde el 2016, los ataques contra el protocolo de escritorio remoto han ido aumentando. En 2018, el Internet Crime Complaint Centro (IC3), emitió una alerta de seguridad específica sobre el protocolo de escritorio remoto de Windows (RDP).

Los ataques relacionados con RDP incluyeron ransomware, robo corporativo, instalación de puertas traseras, pivote y lanzamiento de ataques adicionales. A partir de 2016, las ventas en el mercado negro de cuentas RDP también estuvieron disponibles, incluyendo identidades y credenciales de inicio de sesión por tan sólo 6,00 $ por servidor.

Viouslybviament, la mejor manera de proteger un servidor es desactivar RDP. Sin embargo, a veces, esta no es una opción. Si su servidor es uno de los muchos que requiere un escritorio remoto para funcionar, es fundamental conocer los tipos de ataques que se pueden aplicar contra este protocolo y los diversos métodos a disposición de un ingeniero para evitar estos ataques.

Metodologías de ataque RDP

Un ataque que puede utilizar un pirata informático es una fuerza bruta de las credenciales RDP. En este ataque, un actor malicioso escaneará varias direcciones IP, buscará los puertos abiertos utilizados para RDP (por ejemplo, 3389) y, finalmente, utilizará un método de fuerza bruta, como un ataque de diccionario, para intentar determinar la contraseña.

Desgraciadamente, las credenciales no sólo son susceptibles de pérdida en este tipo de ataque, sino que, además, este ataque de fuerza bruta puede servir como denegación de servicio contra la memoria o el almacenamiento del sistema operativo debido al relleno.

Por suerte, RDP se cifra por defecto mediante TLS. Sin embargo, un atacante puede utilizar un hombre en medio para obtener credenciales RDP. Al igual que con cualquier ataque del centro, el atacante se coloca en un dominio de difusión compartido con el cliente o con el servidor RDP.

Una de estas metodologías utiliza una herramienta basada en Python llamada Seth para aprovechar la falsificación ARP para redirigir el tráfico a través de un servidor proxy RDP. Esto permite al atacante degradar el cifrado de la conexión y extraer credenciales de texto claro.

Como ocurre con cualquier servicio de escucha, los ataques se pueden aprovechar contra el código vulnerable. RDP no es una excepción a la regla. Un ejemplo de vulnerabilidad específica de RDP se publicó al público como parte de CVE-2018-0976.

Este CVE notificó a los usuarios de una vulnerabilidad en el servicio de escritorio remoto que hacía que el sistema operativo fuera vulnerable a una denegación de servicio cuando se enviaban paquetes especialmente diseñados a un servidor de escucha que ejecutaba RDP.

Un atacante también puede utilizar su conexión a través de RDP para llevar a cabo acciones maliciosas adicionales, tales como el despliegue de ransomware, la instalación de una puerta trasera o incluso el giro al entorno.

En algunos casos, los atacantes pueden túnel las conexiones RDP mediante otro protocolo como SSH para evitar cortafuegos y otras protecciones de frontera.

Defensa contra ataques RDP

Hay varias medidas que un administrador puede utilizar para defenderse de los ataques basados ​​en RDP y la mayoría son muy simples.

Contraseñas y bloqueos

En primer lugar, para defenderse de los ataques de fuerza bruta es fundamental utilizar contraseñas complejas o autenticación de dos factores, así como implementar una política de bloqueo. Para implementar una política de bloqueo como parte de su dominio de Windows, vaya a la configuración siguiente en el editor de políticas de grupo.

Computer ConfigurationPolicies Windows Settings Security Settings Account Policies Account Lockout

Configure su Umbral de bloqueo de la cuenta el número de intentos no válidos que elija.

Utilice un puerto alternativo para RDP

Para cambiar el puerto utilizado para RDP, modifique la siguiente clave de registro.

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber

Instale las últimas actualizaciones de seguridad y Windows

Hay varios ejemplos de vulnerabilidades al propio software Escritorio remoto. Desde 2002, ha habido más de 20 actualizaciones de seguridad y 24 CVE diferentes. Algunos ejemplos incluyen:

  • MS01-052: Los datos RDP no válidos pueden provocar un error en el servicio del terminal
  • MS02-051: un defecto criptográfico al protocolo RDP puede conducir a la divulgación de información
  • MS05-041: La vulnerabilidad al protocolo de escritorio remoto podría permitir la denegación del servicio

Como ocurre con cualquier servicio de escucha, es fundamental mantener el servicio actualizado y actualizado para evitar estos problemas. Rapid7 publicó una lista completa de vulnerabilidades relacionadas con RDP. Está disponible en el siguiente enlace.

https://blog.rapid7.com/2017/08/09/remote-desktop-protocol-exposure/

Restringir las sesiones RDP por dirección IP con el cortafuegos de Windows

El cortafuegos de Windows se puede utilizar para restringir las conexiones entrantes sólo a direcciones IP específicas. Si crea una regla de cortafuegos mediante el Asistente de reglas de entrada, verá un conjunto de reglas predefinidas disponibles para RDP. Utilice las reglas TCP y UDP.

A continuación, tendrá que modificar las propiedades de la regla para restringir el tráfico entrante. Para hacerlo, vaya a Propiedades y abra la ficha Alcance. En esta pestaña, añada las direcciones IP permitidas a distancia. Finalmente, no olvide modificar el puerto de destino en el puerto que elija, en su caso.

Active la autenticación a nivel de red

En Windows Vista / 2008 y versiones posteriores, hay una nueva tecnología introducida con RDP 6.0, que ayuda a la protección de las conexiones RDP. Esta tecnología se conoce como autenticación a nivel de red.

La autenticación a nivel de red protege una conexión RDP al no establecer una sesión completa hasta que no se autorizan las credenciales. En versiones anteriores de Windows, la pantalla de inicio de sesión se cargaría antes de que se produjera una autorización completa.

Esto utilizó recursos y abrió el servidor RDP hasta un DoS potencial. Al configurar RDP, active NLA marcando «Permitir conexiones sólo desde ordenadores que ejecuten Escritorio remoto con autenticación a nivel de red. En Windows 7 y versiones posteriores, esta opción por defecto.

Limite los usuarios de escritorio remoto

Otro mecanismo de protección disponible para los usuarios de escritorio remoto es la opción de política de grupo para el acceso al terminal. Desde esta ubicación, es posible limitar el escritorio remoto a usuarios específicos.

Se recomienda utilizar un grupo de usuarios específico de escritorio remoto separado, en lugar de permitir el acceso remoto a todos los usuarios administrativos. Para bloquear los usuarios remotos mediante la política de grupo, haga lo siguiente:

  1. Haga clic en Inicio → Programas → Herramientas administrativas → Política de seguridad local.
  2. A Políticas locales, haga clic en Asignación de derechos de usuario, vaya a Permitir el inicio de sesión mediante los servicios de terminal. O bien permitir el acceso a través de los servicios de escritorio remoto.
  3. Retire el grupo Administradores y dejar el grupo Usuarios de escritorio remoto.
  4. Utilice el panel de control del sistema para añadir usuarios al grupo Usuarios de escritorio remoto.

Utilice las pasarelas RDP

Una pasarela RDP emite todas las conexiones mediante un servidor de pasarela. Este servicio está integrado en Windows 2008 y 2012. La pasarela escuchará las solicitudes de servicios de terminal a través de https y, a continuación, conectará el cliente al servidor RDP.

Esto obliga a controlar todas las conexiones mediante una ubicación central. Las instrucciones para configurar una pasarela remota están disponibles en el siguiente enlace:

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc770601(v=ws.11)

Tunnel Remote Desktop Connections vía IPSec o SSH

Se puede tomar una precaución de seguridad adicional mediante el túnel de las sesiones RDP mediante IPSec o SSH. Una manera sencilla de conseguirlo es con masilla. En primer lugar, conéctese a un servidor ssh remoto local al servidor RDP.

A continuación, configure la sesión ssh de masilla del cliente como se muestra a continuación. bajo conexión | SSH | túneles, Configurar el reenvío de puertos desde el 127.0.0.2:3388 (o el puerto que elija) a la IP y el puerto del servidor RDP.

Finalmente, conecte el servidor RDP en la dirección y el puerto locales. Esto llevará a través de un túnel SSH hasta el destino final.

Resumen

Los ataques de escritorio remoto aumentan cada año. Actualmente, hay varias metodologías de ataque RDP utilizadas por actores maliciosos, incluida la fuerza bruta, el hombre en medio y la explotación de código vulnerable.

Los piratas informáticos también utilizan RDP como mecanismo de despliegue de otros ataques como el ransomware. A pesar de los diversos vectores de ataque, cuando se implementa correctamente, RDP todavía se puede utilizar con seguridad.

Las maneras de proteger RDP incluyen la limitación de las conexiones a direcciones IP y usuarios específicos, mantener RDP actualizado y corregido, utilizar pasarelas RDP, implementar túneles SSH de utilizar autenticación de nivel de red y ocultar el puerto RDP.

También es importante utilizar contraseñas complejas, autenticación de dos factores y bloqueo de cuentas. RDP puede ser una herramienta útil cuando se utiliza correctamente. Se puede implementar con bastante seguridad si hay todas las precauciones anteriores.

Deja un comentario