O protocolo RDP anda a ser usado para roubar credenciais de login e outras informações sensíveis.
Este protocolo (Remote Desktop Protocol) permite que um indivíduo controle os recursos e dados de um computador através da Internet. Desta forma, ajuda o atacante a tomar o controlo total do desktop de uma máquina remota através da transmissão do input, como movimentos do rato, o ato de premir teclas, e retornar uma interface gráfica.
Durante a operação, os atacantes entram nessa conexão RDP tanto da máquina que ataca como da máquina infetada, e injetam malware na mesma. Na Dark Web já é possível encontrar grande parte das contas de RDP roubadas.
Vulnerabilidades deste protocolo:
- Passwords fracas: incluidas em palavras de dicionário ou que não incluem maiúsculas ou minúsculas, números e carateres especiais.
- Versões desatualizadas com mecanismos de encriptação fracos e que permitem ataques MITM (Man in the Middle)
- Não restringe o acesso à porta por defeito, que é a TCP 3389.
- Permite tentativas ilimitadas de login na conta do utilizador
Como mitigar este problema?
- Fazer auditoria aos sistemas que usem o protocolo para comunicar remotamente. Desabilitar o serviço caso não seja preciso, ou aplicar as correções/patches que forem necessárias
- Colocar a porta RDP aberta atrás da firewall e requerer ao utilizador o acesso por VPN e firewall
- Verificar se existe alguma máquina virtual na cloud com endereço IP público e com a porta RDP aberta
- Implementar passwords fortes e políticas de bloqueamento de conta de forma a poder defender o sistema contra ataques de força bruta
- Aplicar a autenticação de 2 fatores (2FA) onde for possível
- Fazer as atualizações necessárias de forma regular
- Manter uma boa estratégia de backup
- Assegurar que terceiros com acesso por RDP seguem as políticas internas no que toca ao acesso remoto
Se quiseres saber mais sobre esta temática, podes consultar este link: https://www.zdnet.com/article/fbi-warns-companies-about-hackers-increasingly-abusing-rdp-connections/
