Como funciona um ciberataque de RDP (Remote Desktop Protocol)

Em crescimento desde, 2016, este tipo de ataque tem como base a venda de acessos RDP no mercado negro.

O que você vai ver neste post

O que é um RDP

O Remote Desktop Protocol (RDP) é usado para permitir acesso remoto de um computador para outro, por exemplo, um funcionário que trabalha remotamente e acessa uma estação de trabalho em um servidor localizado fisicamente em sua empresa.

Este recurso foi rapidamente adotado pelo ambiente corporativo, devido à sua conveniência. Porém, quando não é gerenciado e configurado corretamente, ele se torna uma porta de acesso para invasores.

Em que situações o RDP se torna vulnerável

  1. Em sistemas antigos e sem correções.
  2. Em máquinas com credenciais de login fracas. Neste caso, o atacante pode usar o método força bruta para adentrar, após tentar incansavelmente várias combinações de senha, encontrar a correta.
  3. Senhas vazadas – Os cibercriminosos colocam credenciais de RDP roubadas à venda na Dark Web, permitindo outros hackers adquiram essas informações e lancem os ataques.
  4. Dispositivos com configurações de segurança ruins.

Como ocorre a invasão

Através de portas RDP (Remote Desktop Protocol) abertas, os atacantes invadem máquinas ou interceptam sessões RDP, para injetar malwares no sistema acessado remotamente.

Outro modo de propagação são os ataques de força bruta, para obter nomes de usuário e senha que acessam dispositivos com software RDP.

Uma observação importante

Há muitos casos de reclamação de usuários que tiveram seu ambiente comprometido, através de um ataque ransomware no RDP e responsabilizam a Microsoft pela falha.

Os casos nos quais o Remote Desktop Protocol possui vulnerabilidades não corrigidas são raros.

Quem realmente compromete o RDP é o próprio usuário que não possui um comportamento seguro.

Boas práticas de segurança para proteger o RDP

  • Usar senhas fortes (longas e complexas) para impedir ataques de força bruta (adivinhação de senhas)
  • Ativar políticas de bloqueio de contas para barrar tentativas de invasão
  • Renomear o nome do administrador padrão
  • Utilizar certificados digitais confiáveis
  • Aplicar a autenticação multifator (MFA), quando possível.
  • Aplicar atualizações de sistema e software regularmente.
  • Manter o backup dos dados atualizado.
  • Instalar os patches disponíveis.
  • Ativar o registro e assegurar que os mecanismos de registro capturem logins do RDP.

Conclusão

Se o usuário apenas adotar as boas práticas sugeridas, estará protegido.

A VaultOne é uma solução privilegiada de gerenciamento de contas, que resolve problemas de segurança centralizando as senhas em um cofre digital, permitindo que os usuários acessem recursos (servidores, computadores, contas sociais) sem a necessidade de uma senha.

Em vez de confiar todos os recursos a uma senha, o administrador de rede pode, por exemplo, prover uma conexão segura entre o usuário e o que ele irá acessar, através da plataforma VaultOne.

Conheça como podemos melhorar a segurança da sua empresa, fale hoje mesmo com nossos especialistas.