Consejos para mitigar ataques que se aprovechan de los accesos remotos RDP

El protocolo de escritorio remoto (RDP) de Microsoft es utilizado habitualmente por infinidad de profesionales para conectarse remotamente a sus equipos Windows de la oficina. También es utilizado por usuarios que desean prestar soporte técnico a familiares sin tener que desplazarse, pudiendo resolver incidencias en remoto. Ahora bien, este tipo de accesos, también genera una exposición a sufrir cierto tipo de ataques o ser blanco de ciberdelincuentes.

En un ataque RDP, los hacker buscan servicios RDP no protegidos para explotar y acceder a redes empresariales. Es terriblemente fácil hacerlo porque muchas organizaciones no pueden asegurar los servicios de RDP contra el acceso inapropiado. Así es, en definitiva, como el protocolo de acceso remoto de Microsoft se ha convertido en un popular vector de ataque.

Durante el pasado año, RDP se convirtió en el principal vector de ataque de tipo ransomware. Los agentes de amenazas han explotado repetidamente los servicios de RDP expuestos a Internet para instalar ransomware en sistemas y redes pertenecientes a numerosas organizaciones importantes. El pasado mes de julio, el grupo SamSam infectó unos 7.000 ordenadores Windows y 1.900 servidores en LabCorp con ransomware a través de un ataque de fuerza bruta contra un servidor RDP. Otro incidente estuvo asociado a los servicios hospitalarios Hancock Health, organización que se vio obligada a pagar más de 50.000 dólares como rescate para recuperar el acceso a los datos críticos que los delincuentes habían cifrado después de entrar en su red a través de un servidor del hospital que ejecuta servicios de RDP.

Los atacantes también han explotado RDP para instalar herramientas cryptomining , keyloggers, backdoors y malware diverso en sistemas empresariales. Muchos han utilizado los servicios de RDP para establecer un punto de apoyo en una red empresarial, elevar los privilegios, desvelar credenciales, moverse lateralmente dentro de un entorno comprometido y sembrar la red de la empresa de código malicioso.
"La recompensa de un ataque RDP es enorme", afirma Rishi Bhargava, cofundador de Demisto, un proveedor de soluciones de seguridad y tecnología de respuesta a incidentes. Incluso si realizar un ataque RDP a veces puede requerir un poco de esfuerzo, la variedad de dispositivos en los que los atacantes pueden influir, una vez que han accedido a un RDP, es peligrosamente grande, nos confirma.

RDP: un objetivo fácil
A los adversarios les gusta apuntar a RDP porque el protocolo es fácil de usar y ofrece una oportunidad para el control completo de los sistemas comprometidos. Es importante destacar que les da a los atacantes acceso a un sistema a través de un protocolo que se usa comúnmente para fines legítimos, por lo que es más difícil para los defensores detectar actividad maliciosa.

Como todos sabrán, el RDP de Microsoft para sus versiones de Windows, permite, entre otras cosas, conectarse al PC con Windows de la oficina desde el ordenador de casa para realizar las mismas tareas que si estuvieras sentado delante del mismo.
Las organizaciones a menudo permiten el acceso remoto a dispositivos para que el personal de soporte pueda acceder a ellos y solucionar problemas. Si bien la función puede ser útil, muchas organizaciones no pueden proteger adecuadamente las cuentas que tienen acceso al escritorio remoto, debido a que no suelen demandar el uso de contraseñas seguras; no permiten la autenticación a nivel de red; y no limitan a los usuarios que pueden iniciar sesión a través de Escritorio remoto.

"Muchas empresas normalmente dejan el RDP habilitado de forma predeterminada", dice Joseph Carson, científico jefe de seguridad de Thycotic, un proveedor de herramientas de administración de cuentas privilegiadas. Aunque el servicio a menudo proporciona acceso a los sistemas a nivel de administrador, el único control de seguridad que lo protege suele ser una contraseña simple, dice.

Los atacantes que usan métodos de fuerza bruta a menudo pueden descifrar estas contraseñas y así obtener acceso completo al sistema para robar datos confidenciales, eliminar malware, así como llevar a cabo actividades maliciosas. "Es bastante fácil encontrar estos sistemas en línea escaneando dispositivos conectados a Internet que tienen RDP habilitado", comenta Carson.

Los atacantes también pueden simplemente comprar las contraseñas de otros delincuentes que las han descifrado previamente. En los últimos años han surgido numerosos mercados en la DarkWeb que venden acceso a servidores RDP comprometidos por tan solo tres dólares. Fabricantes como McAfee y Flashpoint informaron de una tienda de este tipo llamada Ultimate Anonymity Service (UAS), que se dedica a vender contraseñas para acceder a entre 35.000 y 40.000 servidores RDP en todo el mundo, incluidos los que pertenecen a gobierno, salud y otras organizaciones de sectores importantes.

"Hay una tendencia clara hacia la automatización de los servidores RDP de orientación a través de software de fuerza bruta y herramientas diseñadas para permitir que un gran número de servidores sean controlados simultáneamente", dice Luke Rodeheffer, analista senior de Flashpoint. El acceso a los servidores se vende en los mercados de ciberdelincuentes, y es posible buscarlos por tipo de servidor dedicado y su geolocalización.

Para mitigar la exposición a ataques basados en RDP, conviene considerar las siguientes medidas, comenta Rodeheffer.

1. Usa contraseñas seguras
Utiliza siempre nombres de usuario y contraseñas fuertes para el acceso RDP. Las contraseñas deben ser robustas, largas y seguras, afirma Chet Wisniewski, científico principal de investigación de Sophos. Habilite la autenticación de dos factores, especialmente para cuentas administrativas y oculte el acceso que tenga asociado una VPN.

"Nunca exponga las herramientas de acceso remoto directamente en Internet", dice Wisniewski. "Si bien es menos conveniente, todos sabemos que entre los beneficios que aporta una VPN, se encuentra el de no tener que conducir al trabajo a las 3 de la madrugada para solucionar un problema". El simple hecho de cambiar las credenciales que vienen por defecto en el inicio de sesión del equipo administrado, puede ralentizar un ataque de fuerza bruta.

2. Restringe los accesos en base a los roles

Las organizaciones deben limitar la cantidad de usuarios que tienen acceso de administrador a las consolas RDP. También limite los privilegios de los usuarios que tienen dicho acceso. "El control de acceso granular basado en roles ayudará a minimizar el daño que los atacantes pueden causar después tras entrar", dice Bhargava de Demisto.

3. Habilite la Autenticación de nivel de red (NLA) para RDP
Network Level Authentication ofrece una capa adicional de protección. Cuando está habilitado, un usuario que intenta conectarse a un sistema remoto a través de RDP necesitará autenticar su identidad en primer lugar, antes de que se establezca una sesión. "No desactive la autenticación de nivel de red, ya que ofrece un nivel de autenticación adicional", dice Arntz. "Habilítalo, si no fuera así".

4. Cambiar el puerto RDP
Servicios como Shodan hacen que sea fácil para los atacantes encontrar sistemas expuestos a Internet que ejecuten RDP. Cambiar su puerto RDP asegura que los programas que habitualmente escanean estos puertos que buscan RDP abiertos, no serán encontrados, dice Pieter Arntz, analista en Malwarebytes. "Por defecto, el servidor escucha en el puerto 3389, tanto para TCP como para UDP", destaca.

Al mismo tiempo, las organizaciones deben ser conscientes de que los servidores RDP con objetivos de software en estos días no solo apuntan al puerto RDP 3389 sino también a los puertos no estándar, advierte a Rodeheffer de Flashpoint. Por lo tanto, es vital estar atento a la actividad de fuerza bruta que apunta a los puertos RDP en sus registros de red.

5. Mantenga un registro de los servidores RDP
Sepa qué sistemas en su entorno tienen habilitado RDP. Asegúrese de que no haya servidores RDP no autorizados en su red, especialmente todo lo que esté conectado directamente a Internet. Considere habilitar el registro y la supervisión en los registros del servidor RDP para saber quién los utiliza, dice Jacob Sendowski, gerente sénior de productos del proveedor de administración de amenazas Vectra.

Monitorizar el tráfico de la red RDP permitirá localizar accesos inusuales, lo que ayudará a descubrir cualquier uso indebido de sus servicios RDP.

6. Utilice una puerta de enlace RDP
Las puertas de enlace RDP normalmente se instalan dentro de la red corporativa. La función de una puerta de enlace permite pasar de forma segura el tráfico hacia y desde un cliente remoto a un dispositivo local. Puede ayudar a las organizaciones a garantizar que solo los usuarios autorizados puedan usar RDP y controlar los dispositivos a los que tienen acceso. El uso de una puerta de enlace RDP puede evitar o minimizar el acceso de usuarios remotos y dar a las organizaciones un mayor control sobre las funciones de los usuarios, los privilegios de acceso, y los requisitos de autenticación, dice Bhargava.  

Los registros de sesión de RDP de estos sistemas pueden resultar especialmente útiles si algo sucede y está tratando de descubrir qué pudo haberlo causado. Debido a que los registros no están en la máquina comprometida, los atacantes no pueden modificarlos fácilmente, añade Arntz.

7. Responde ante síntomas iniciales
Es necesario tener mecanismos para detectar un ataque RDP y detenerlo rápidamente. Por ejemplo, considere implementar herramientas de seguridad que puedan detectar intentos de inicio de sesión repetidos en un sistema RDP. Guárdese un as en la manga para detectar aquellos accesos sospechosos que intentan iniciar sesión desde una IP extraña o lugares geográficos remotos, señala Bhargava.

"Las organizaciones deben ser conscientes de que los malhechores atacarán su infraestructura de RDP, no solo para intentar llevar a cabo acciones de ransomware o criptominería, sino también como parte de ataques dirigidos", dice Sendowski. "RDP es una gran herramienta para el acceso remoto, tanto para el uso autorizado de los empleados, como para los ciberatacantes", concluye.