Ir al contenido
remote desktop protocol
Productos y Servicios PRODUCTOS Y SERVICIOS

Retrospectiva n° 2: bloquear el protocolo de escritorio remoto (RDP)

Este artículo forma parte de una serie que pretende mostrar a los profesionales de la ciberseguridad las lecciones aprendidas por las víctimas de ciberataques. Cada lección incluirá recomendaciones sencillas, muchas de las cuales no requieren que las organizaciones adquieran ninguna herramienta.

El Protocolo de escritorio remoto (también conocido como Terminal Services o Servicio de escritorio remoto) permite que alguien se conecte de forma remota a otro ordenador, proporcionando la misma experiencia de usuario que si estuviera físicamente presente.

De acuerdo con nuestro 2021 Active Adversary Playbook, el protocolo de escritorio remoto (RDP) integrado de Microsoft, se utilizó para acceder a organizaciones desde Internet en el 32% de los ataques, calificándolo como el método número uno utilizado para el acceso inicial.

A diferencia de otras herramientas de acceso remoto, RDP generalmente no requiere nada más que un nombre de usuario y contraseña y, a menudo, el nombre de usuario se deja expuesto (para que sea más fácil iniciar sesión la próxima vez). RDP incluso ha sufrido vulnerabilidades a lo largo del tiempo que permiten el acceso sin ninguna credencial.

El uso indebido de RDP cae en algunas técnicas diferentes de MITRE ATT&CK, pero la principal sería la T1133 (servicios remotos externos). Otras técnicas MITRE ATT&CK que involucran RDP incluyen:

  • T1563 – Secuestro de RDP
  • T1021 – Movimiento lateral con RDP
  • T1572 – Túnel sobre RDP
  • T1573 – Comando y control sobre RDP
  • T1078 – Uso de cuentas válidas con RDP
  • T1049 – Descubrimiento de conexiones de red del sistema
  • T1071 – Protocolo de capa de aplicación

Una vez que un ciberdelincuente ha iniciado sesión con éxito en una sesión de RDP, es lo más cerca posible de sentarse literalmente frente al teclado y el ratón, y ni siquiera el centro de datos más seguro físicamente del mundo puede ayudar.

El RDP expuesto externamente tiene una solución fácil: simplemente no lo expongas. No reenvíes el puerto TCP:3389 en su firewall a algo. Y no creas que ayuda usar un puerto diferente… lo estoy viendo venir… ¡doce mil RDP en el puerto 3388!

Si bien la cura parece simple, Shodan.IO (un motor de búsqueda para Internet de las cosas) muestra más de 3,3 millones de puertos RDP 3389 expuestos a nivel mundial y fáciles de encontrar. ¿Por qué es tan popular? Permitir el acceso a RDP es una manera rápida y fácil de dejar que alguien proporcione la administración remota del sistema, como un proveedor de servicios administrados para administrar el servidor de un cliente o un dentista para acceder al sistema de su oficina desde casa.

Si se necesita acceso remoto a RDP o servicios de terminal, solo deben ser accesibles a través de una VPN segura (con autenticación multifactor) a la red corporativa o mediante una puerta de enlace de acceso remoto de confianza cero o Zero Trust.

1 comentario

Los comentarios están cerrados.