Sobre udalenka, RDP desprotegido e o aumento no número de servidores disponíveis na Internet

Devido à rápida transição em massa das empresas para o trabalho remoto, o número de servidores corporativos disponíveis para criminosos cibernéticos da Internet está crescendo rapidamente. Um dos principais motivos é o uso do RDP (Protocolo de Área de Trabalho Remota) não protegido. De acordo com nossos dados, apenas em uma semana na Rússia, o número de dispositivos acessíveis da Internet via protocolo RDP aumentou 15%.



Hoje, a maneira mais popular de organizar o trabalho remoto é conectar-se a uma estação de trabalho remotamente, já que o software de conexão à área de trabalho remota faz parte de qualquer versão moderna do Windows, e o processo desse trabalho para um funcionário não é diferente do acesso regular a um sistema em funcionamento. Para fornecer acesso remoto, é usado o protocolo RDP, que por padrão usa a porta 3389.

Infelizmente, devido ao pânico, muitas empresas não prestam a devida atenção à proteção do acesso remoto ao local de trabalho, o que representa muitas ameaças. Por exemplo, há situações em que um servidor remoto está acessível e visível na Internet - qualquer pessoa pode tentar se conectar a ele. Apesar da necessidade de identificação e autenticação, um invasor pode forçar uma senha ou substituir um certificado de segurança. Além disso, existem muitas vulnerabilidades conhecidas que permitem acessar um servidor remoto mesmo sem ter que passar por um procedimento de autenticação.

Quão relevantes são essas ameaças? Para responder a essa pergunta, usamos várias ferramentas para analisar e monitorar o número de dispositivos disponíveis na Internet usando o protocolo RDP. Com base nos dados obtidos, podemos concluir que, devido à transferência em massa de funcionários para trabalho remoto, o número de dispositivos disponíveis está crescendo rapidamente. Assim, em apenas uma semana, o número de servidores disponíveis no mundo aumentou mais de 20% e atingiu a marca de 3 milhões. Uma situação semelhante é observada na Rússia - o crescimento da participação de servidores disponíveis em quase 15%, o número total é superior a 75.000.





Essas estatísticas estão começando a assustar, porque há pouco tempo várias grandes vulnerabilidades relacionadas ao RDP desapareceram. Em meados de 2019, uma vulnerabilidade crítica foi descoberta com o número CVE-2019-0708, chamadoO BlueKeep e, após alguns meses, também foram publicadas informações sobre as vulnerabilidades críticas CVE-2019-1181 / 1182, chamadas DejaBlue . Tanto o primeiro como o segundo não estão diretamente relacionados ao protocolo RDP, mas estão relacionados aos Serviços de Área de Trabalho Remota do RDS e permitem uma operação bem-sucedida enviando uma solicitação especial através do RDP para obter a capacidade de executar código arbitrário em um sistema vulnerável sem precisar passar por um procedimento de autenticação. É suficiente ter acesso a um host ou servidor com um sistema Windows vulnerável. Portanto, qualquer sistema acessível pela Internet fica vulnerável se as atualizações de segurança mais recentes do Windows não estiverem instaladas.

A Microsoft lançou atualizações de segurança em tempo hábil para lidar com as ameaças do BlueKeep e DejaBlue, mas estes são apenas alguns exemplos de ameaças conhecidas relacionadas ao acesso remoto inseguro. A cada mês, as atualizações de segurança do Windows corrigem novas vulnerabilidades descobertas em relação ao RDP, cuja operação bem-sucedida pode levar ao roubo de informações importantes, bem como à introdução e rápida disseminação de malware em toda a infraestrutura da empresa.

Durante qualquer evento de massa, tanto mais assustador quanto uma pandemia global, o número de ataques às organizações aumentará inevitavelmente. As empresas tentam fornecer acesso remoto a todos os funcionários o mais rápido possível, mas com tanta pressa é muito fácil esquecer ou negligenciar as regras de proteção. É por isso que é extremamente indesejável usar acesso remoto desprotegido comum à área de trabalho. É recomendável usar uma VPN com autenticação de dois fatores e implementar o acesso remoto com base em protocolos seguros.