Site icon Sophos News

Abuso di RD Web Access: come difendersi

lightbulbs in combat

Dall’inizio del 2024, il team di Sophos X-Ops Managed Detection and Response (MDR) ha risposto a diversi incidenti in cui il vettore di accesso iniziale è stato identificato in un portale Microsoft Remote Desktop Web Access esposto e privo di protezione MFA (Multi-Factor Authentication). Questo articolo fornirà una panoramica di ciò che abbiamo osservato quando questo portale è stato utilizzato in modo improprio, approfondirà il modo in cui conduciamo queste indagini e presenterà alcune raccomandazioni e strategie di mitigazione per aiutare chiunque si trovi ad affrontare (o semplicemente a prevedere) la stessa situazione.

Che cos’è il portale RD Web Access?

L’architettura di Microsoft Remote Desktop Services è costituita da più ruoli distinti, come illustrato nella Figura 1.

Figura 1: Esempio di ruoli installati su un host Remote Desktop Services (RDS) esposto

Questo articolo si concentra sui ruoli RD Gateway, RD Web Access e RD Session Host. Per una panoramica più ampia su come il Remote Desktop Protocol (RDP) può essere abusato e su come gli aggressori lo fanno, consultare la serie RDP che abbiamo pubblicato all’inizio di quest’anno.

Continua a leggere.

Exit mobile version