Questo articolo fa parte di una serie che mira a educare i professionisti della sicurezza informatica sulle lezioni apprese dalle vittime di violazioni. Ogni lezione includerà semplici consigli, molti dei quali non richiedono alle aziende di acquistare alcuno strumento.
Il Remote Desktop Protocol (noto anche come Terminal Services o Remote Desktop Service) consente a qualcuno di connettersi a un altro computer da remoto, fornendo la stessa esperienza utente di chi è fisicamente presente.
Secondo il nostro Active Adversary Playbook del 2021, il protocollo Remote Desktop Protocol (RDP) integrato di Microsoft è stato utilizzato per accedere alle organizzazioni da Internet nel 32% degli attacchi, il che lo classifica come il metodo numero uno utilizzato per l’accesso iniziale.
A differenza di altri strumenti di accesso remoto, l’RDP di solito non richiede altro che un nome utente e una password e spesso il nome utente viene lasciato esposto (per facilitare l’accesso la volta successiva). L’RDP ha persino sofferto di vulnerabilità nel tempo che consentivano l’accesso senza credenziali.
L’uso improprio dell’RDP rientra in diverse tecniche MITRE ATT&CK, ma la principale sarebbe T1133 (External Remote Services). Altre tecniche MITRE ATT&CK che coinvolgono il RDP includono:
- T1563 – Furto dell’RDP
- T1021 – Movimento laterale tramite RDP
- T1572 – Tunneling su RDP
- T1573 – Comando e controllo su RDP
- T1078 – Utilizzo di account validi con RDP
- T1049 – Rilevamento delle connessioni di rete del sistema
- T1071 – Protocollo a livello di applicazione
Una volta che un autore di minacce si è connesso con successo a una sessione RDP, è quanto di più vicino possibile al sedersi letteralmente davanti alla tastiera e al mouse, e nemmeno il data center più sicuro al mondo può essere d’aiuto.
L’RDP esposto esternamente ha una soluzione semplice: non esporlo. Non inoltrare nulla alla porta TCP:3389 sul firewall. E non pensare che l’uso di una porta diversa aiuti… Ti vedo: dodicimila RDP sulla porta 3388!
Anche se la cura sembra semplice, Shodan.IO (un motore di ricerca per Internet of Things) mostra oltre 3,3 milioni di porte RDP 3389 esposte a livello globale e facilmente reperibili. Perché è così popolare? Consentire l’accesso all’RDP è un modo rapido e semplice per consentire a qualcuno di fornire l’amministrazione remota del sistema, ad esempio a un provider di servizi gestiti per prendere in carico il server di un cliente o a un dentista per accedere al sistema dell’ufficio da casa.
Se è richiesto l’accesso remoto all’RDP o ai servizi terminal, esso dovrebbe essere reso accessibile solo tramite una connessione VPN (Virtual Private Network) sicura (con autenticazione a più fattori) alla rete aziendale o tramite un gateway di accesso remoto zero-trust.