El Protocolo de Escritorio Remoto (RDP) es uno de los protocolos de comunicación más populares utilizados para los sistemas de control remoto. Se utiliza para la mayoría de los sistemas operativos actuales de Windows®, y permite a los usuarios acceder de forma remota a servidores u otros ordenadores proporcionando una interfaz gráfica de usuario. Microsoft incluso lo utiliza como método predeterminado para gestionar las máquinas virtuales de Azure que ejecutan Windows®.
Dado que el Protocolo de Escritorio Remoto (RDP) es un protocolo muy popular, una vez que un atacante obtiene acceso, lo utilizará para pasar a otros sistemas. Por lo tanto, RDP es siempre muy atractivo para los atacantes. Estos se han dado cuenta de que el uso de herramientas de acceso remoto RDP es mucho más eficiente que la explotación de vulnerabilidades, ya que sólo requiere obtener las credenciales correctas.
Según un reciente informe de X-Force, el robo de credenciales para acceder a estos sistemas es uno de los negocios más rentables en la Dark Web. Sin embargo, estos servidores directamente expuestos no son los únicos sistemas a los que los atacantes se dirigen utilizando (o abusando) de RDP. Uno de sus objetivos es fusionar sus comportamientos maliciosos con el tráfico de red habitual.
¿Cómo funciona el RDP?
Antes de sumergirnos en los detalles de la amenaza y la protección del RDP, entendamos primero cómo funciona. RDP es un protocolo de comunicación bidireccional. Puede transmitir la salida de pantalla del servidor al cliente y transmitir la entrada de teclado y ratón del cliente al servidor.
Este proceso es asimétrico, ya que la mayoría de los datos van del servidor al cliente, mientras que no hay muchos datos devueltos por el cliente. El cliente y el servidor deben pasar por varias etapas antes de establecer la comunicación.
Después de que un cliente se conecte, acuerda con el servidor la configuración de uso (como la resolución de la pantalla, las características soportadas y la información de la licencia). Luego, acuerdan el tipo de seguridad RDP y eligen entre dos modos de soporte:
- Modo estándar, basado en RC4
- Modo mejorado, donde RDP se basa en otros protocolos, como TLS o CredSSP.
Por último, el cliente y el servidor deben acordar el número de canales necesarios. El canal es un tráfico de datos independiente, y cada tráfico de datos tiene su propio ID para formar un protocolo de escritorio remoto. Estos canales pueden redirigir el acceso al sistema de archivos, o permitir compartir el portapapeles entre el cliente y el servidor.
Vulnerabilidades relacionadas con el RDP y la organización de APT
BlueKeep
En 2019, los investigadores descubrieron una vulnerabilidad crítica en RDP, llamada “BlueKeep“. Esta vulnerabilidad (CVE-2019-0708) puede ser utilizada para ejecutar remotamente código arbitrario sin ninguna interacción del usuario o credenciales válidas. La combinación de estos factores puede dar lugar a la propagación de gusanos, un malware que puede propagarse por sí mismo entre los sistemas vulnerables. Algo similar se descubrió en el ransomware Wannacry que apareció hace unos años. La característica distintiva de BlueKeep es que puede conectarse a sistemas Windows® más antiguos. Esto obligó a Microsoft a tomar la inusual medida de crear nuevos parches para sistemas Windows® a los que ya no daba soporte.
DejaBlue
En agosto de 2019, los investigadores anunciaron DejaBlue. No es una vulnerabilidad en sí, sino una serie de vulnerabilidades. Al igual que BlueKeep, DejaBlue permite a los atacantes secuestrar sistemas vulnerables sin ninguna forma de autenticación. A diferencia de BlueKeep, las vulnerabilidades de DejaBlue se encuentran en las versiones más recientes de Windows®. El atacante no necesita necesariamente eplotear la vulnerabilidad, sino que simplemente lanza un ataque aprovechando una configuración errónea. Algunos riesgos comunes en la seguridad de RDP incluyen credenciales de inicio de sesión de usuario débiles y la falta de registro o supervisión del comportamiento de inicio de sesión del servidor RDP, lo que permite a los atacantes lanzar ataques de fuerza bruta o de rociado de contraseñas a los sistemas que están expuestos públicamente.
Entre las organizaciones de piratas informáticos que suelen utilizar RDP para realizar ataques se encuentran: APT41, FIN6, FIN7, etc., que utilizan RDP para el movimiento lateral; FLIPSIDE y otros que utilizan RDP para robar información. Por ejemplo, Ngrok es un proxy inverso legal que puede filtrar los datos de las víctimas mediante un túnel de tráfico en RDP. El ransomware WannaCry puede ejecutar el malware en una sesión de escritorio remoto existente. Este tipo de “robo” de la sesión suele llamarse “secuestro de RDP”.
Recomendaciones de protección
Aunque existen riesgos de seguridad, el RDP puede seguir proporcionándonos mucho valor. Es extremadamente importante proteger sus servidores de escritorio remoto.
- En primer lugar, la gestión de parches es la base, ya que garantiza que el sistema esté siempre actualizado, especialmente para los servicios críticos de acceso remoto.
- En la mayoría de los casos, las organizaciones no necesitan exponer el servidor RDP al público. Las organizaciones pueden utilizar cortafuegos, restricciones de IP, restringir el acceso a través de VPNs o utilizar el acceso instantáneo para limitar la exposición del RDP. Esto último reduce en gran medida los riesgos y, al mismo tiempo, garantiza que las organizaciones puedan acceder al servicio siempre que lo necesiten. Ni que decir tiene que hay que asegurarse de no utilizar contraseñas fáciles de adivinar para las cuentas habilitadas para RDP. Y, no permita el acceso remoto a todos los usuarios del sistema si no es necesario.
- Implementar una forma de bloqueo automático de cuentas para evitar que los atacantes adivinen las contraseñas mediante cracking de fuerza bruta. La organización también puede necesitar habilitar la autenticación a nivel de red (NLA) para evitar el acceso accidental al túnel RDP.
Monitorización y registro
No importa lo segura que sea la configuración RDP de la organización, siempre habrá situaciones en las que un atacante pueda prevalecer. En estos casos, la organización necesitará confiar en el registro y la monitorización para analizar lo que está sucediendo.
Entre las fuentes importantes de pruebas forenses de RDP se incluyen: los comandos quser, qwinsta y qprocess proporcionan información sobre los usuarios, sesiones y procesos de RDP; Microsoft-Windows-Terminal-Services-RemoteConnectionManager y Windows-TerminalServices-LocalSessionManager notifican a los clientes las conexiones de red y el inicio y el fin de las sesiones de RDP ; Por último, Microsoft-Windows-Security-Auditing incluye eventos que detallan el éxito o el fracaso de los intentos de autenticación.
Aunque RDP tiene muchos riesgos, y los atacantes están cada vez más interesados en las herramientas de acceso remoto, esto no significa que las organizaciones no puedan desplegarlas de forma segura y controlada. Si la organización tiene en cuenta las medidas anteriores y establece suficientes estrategias de registro y supervisión, debería ser capaz de proteger completamente sus servidores RDP.