Dall’inizio del 2024, il team di Sophos X-Ops Managed Detection and Response (MDR) ha risposto a diversi incidenti in cui il vettore di accesso iniziale è stato identificato in un portale Microsoft Remote Desktop Web Access esposto e privo di protezione MFA (Multi-Factor Authentication). Questo articolo fornirà una panoramica di ciò che abbiamo osservato quando questo portale è stato utilizzato in modo improprio, approfondirà il modo in cui conduciamo queste indagini e presenterà alcune raccomandazioni e strategie di mitigazione per aiutare chiunque si trovi ad affrontare (o semplicemente a prevedere) la stessa situazione.
Che cos’è il portale RD Web Access?
L’architettura di Microsoft Remote Desktop Services è costituita da più ruoli distinti, come illustrato nella Figura 1.
Figura 1: Esempio di ruoli installati su un host Remote Desktop Services (RDS) esposto
- Il ruolo Remote Desktop Connection Broker (RD Connection Broker) gestisce le connessioni desktop remote in entrata alle farm di server RD Session Host e instrada le connessioni verso un host adeguato.
- Il ruolo Remote Desktop Gateway (RD Gateway) è responsabile della concessione agli utenti delle reti pubbliche dell’accesso ai desktop e alle applicazioni Windows ospitate nel cluster RDS. Questo ruolo è spesso installato sullo stesso host del ruolo RD Web Access, descritto di seguito.
- Il ruolo Remote Desktop Licensing (RD Licensing) gestisce le licenze utente e consente agli utilizzatori di connettersi ai server RD Session Host che ospitano i desktop o le applicazioni virtuali.
- Infine, il portale di accesso Remote Desktop Web Access (RD Web Access) è il mezzo con cui gli utenti, e in queste indagini gli aggressori, si autenticano e infine raggiungono il Remote Desktop Session Host (RD Session Host), l’obiettivo di questa fase. Dall’host di sessione RD è possibile avviare vari tipi di attività, poiché l’aggressore ha ottenuto l’accesso al sistema. (In MITRE ATT&CK, si tratta di T1133, Accesso iniziale e servizi remoti esterni).
Questo articolo si concentra sui ruoli RD Gateway, RD Web Access e RD Session Host. Per una panoramica più ampia su come il Remote Desktop Protocol (RDP) può essere abusato e su come gli aggressori lo fanno, consultare la serie RDP che abbiamo pubblicato all’inizio di quest’anno.
Continua a leggere.