lightbulbs in combat
Ricerche sulle CyberMinacce

Abuso di RD Web Access: come difendersi

Spunti investigativi e raccomandazioni da una recente serie di casi di incident response
Scritto da ,
20 Giugno 2024
Security Operations Threat Research active adversary Active Adversary Report featured incident response RDP Sophos X-Ops

Dall’inizio del 2024, il team di Sophos X-Ops Managed Detection and Response (MDR) ha risposto a diversi incidenti in cui il vettore di accesso iniziale è stato identificato in un portale Microsoft Remote Desktop Web Access esposto e privo di protezione MFA (Multi-Factor Authentication). Questo articolo fornirà una panoramica di ciò che abbiamo osservato quando questo portale è stato utilizzato in modo improprio, approfondirà il modo in cui conduciamo queste indagini e presenterà alcune raccomandazioni e strategie di mitigazione per aiutare chiunque si trovi ad affrontare (o semplicemente a prevedere) la stessa situazione.

Che cos’è il portale RD Web Access?

L’architettura di Microsoft Remote Desktop Services è costituita da più ruoli distinti, come illustrato nella Figura 1.Esempio di ruoli installati su un host Remote Desktop Services (RDS) esposto

Figura 1: Esempio di ruoli installati su un host Remote Desktop Services (RDS) esposto

  • Il ruolo Remote Desktop Connection Broker (RD Connection Broker) gestisce le connessioni desktop remote in entrata alle farm di server RD Session Host e instrada le connessioni verso un host adeguato.
  • Il ruolo Remote Desktop Gateway (RD Gateway) è responsabile della concessione agli utenti delle reti pubbliche dell’accesso ai desktop e alle applicazioni Windows ospitate nel cluster RDS. Questo ruolo è spesso installato sullo stesso host del ruolo RD Web Access, descritto di seguito.
  • Il ruolo Remote Desktop Licensing (RD Licensing) gestisce le licenze utente e consente agli utilizzatori di connettersi ai server RD Session Host che ospitano i desktop o le applicazioni virtuali.
  • Infine, il portale di accesso Remote Desktop Web Access (RD Web Access) è il mezzo con cui gli utenti, e in queste indagini gli aggressori, si autenticano e infine raggiungono il Remote Desktop Session Host (RD Session Host), l’obiettivo di questa fase. Dall’host di sessione RD è possibile avviare vari tipi di attività, poiché l’aggressore ha ottenuto l’accesso al sistema. (In MITRE ATT&CK, si tratta di T1133, Accesso iniziale e servizi remoti esterni).

Questo articolo si concentra sui ruoli RD Gateway, RD Web Access e RD Session Host. Per una panoramica più ampia su come il Remote Desktop Protocol (RDP) può essere abusato e su come gli aggressori lo fanno, consultare la serie RDP che abbiamo pubblicato all’inizio di quest’anno.

Continua a leggere.

L’autore

Daniel Souter is an Incident Response Lead for the Sophos X-Ops IR team.

Neal Rajguru
L’autore

Neal Rajguru is an Incident Response lead for Sophos X-Ops’ IR team, specializing in the effective handling of multiple incidents, spearheading root cause analysis to avert future incidents, and coordinating with relevant stakeholders throughout the incident lifecycle.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *