Adotando proteções ao protocolo RDP contra ataques por Ransonware

De maneira forçada, a pandemia provocada pelo COVID-19 motivou corporações ao redor do mundo e indiferente do porte a iniciarem, ou em muitos casos ampliarem, a adoção do acesso remoto aos seus ambientes corporativos para prosseguirem com suas atividades.

Não é uma modalidade tão nova quanto possa aparentar, ainda na época dos periféricos conhecidos como modems e conectados a linhas telefônicas, já era possível efetuar acessos remotos aos ambientes de rede internos e exercerem suas atividades cotidianas mas pelas grandes limitações da linha telefônica convencional, poucas atividades eram possíveis de executar sejam pelos custos das ligações telefônicas pra conexão como também a limitação e instabilidade das velocidades, não suficientes outros padrões de comunicação mais modernos como .X25 e FrameRelay não eram baratos de adquirir e manter assim como não contemplava tantos equipamentos como a tecnologia xDSL permitiu acontecer.

Essa urgência recente para manter funcionando a atividades das empresas, infelizmente proporcionou novas oportunidades aos criminosos digitais, por conta da grande maioria daqueles que adotaram essa modalidade não terem planejado adequadamente esse recurso, expondo incontáveis ambientes de rede corporativos pela frágil configuração aplicada para o acesso a seus recursos pelos seus colaboradores.

Dessa maneira e em relativamente pouco tempo, a quantidade das portas de comunicação por RDP cresceu em pouco mais de trinta dias, considerando apenas janeiro a março de 2020, de aproximadamente 3 milhões para mais de 4.5 milhões segundo o relatório disponível [aqui], elaborado pela empresa McAfee.

Considerando não ser um comportamento irremediável, o conteúdo a seguir pretende apresentar os motivadores para ataques por conexões RDP, proteções disponíveis para proteger os colaboradores de ataques por força bruta em protocolos RDP finalizando com sugestões de melhores práticas para minorar as ameaças ordenadas por RDP.

Introdução ao protocolo RDP:

Desenvolvido pela Microsoft, o RDP é um protocolo de comunicação de rede existente para a maioria dos sistemas Windows seja a versão doméstica ou as empresariais como a família Windows Server, apresenta uma pequena tela gráfica com poucas informações necessárias para a conexão na tela principal, entre algumas configurações adicionais estão as opções para qualidade gráfica, interação com teclado e mouse, controle de banda para melhorar ou moderar desempenho da conexão.

Assim que a conexão for estabelecida, o colaborador tem acesso a um ambiente bem próximo do computador real, junto com a crescente adoção da virtualização das estações de trabalho, tem proporcionado a utilização de ambientes cada vez mais versáteis onde os computadores físicos são gradativamente convertidos em máquinas virtuais, resultando numa expressiva redução nos custos de gerenciamento dos ativos de TI (Tecnologia da Informação).

Soluções mais profissionais permitem um controle ainda maior na interação com as estações de trabalho remotas, controlando o habito até natural de copiar sejam arquivos ou outros conteúdos entre os ambientes, enquanto o colaborador pode seguir utilizando sua estação de trabalho e todos os recursos disponíveis internamente, como se estivesse fisicamente presente na empresa.

Estratégias criminosas para contaminação de conexões RDP por malware

De maneira geral o acesso por RDP é considerado como ferramenta segura e bem protegida, dentro de uma rede privada ou seja, num ambiente isolado da internet, isto por depender de uma boa quantidade de configurações começando pela estação ter cadastrado os usuários permitidos além do próprio serviço de assistência remota estar ativa, redirecionamentos de rotas de conexão também são necessárias para cada colaborador acessar sua estação remota, geralmente neste cenário ele tem acesso a apenas seu computador, já presencialmente na empresa e dependendo das políticas de segurança, é natural poder acessar outros computadores utilizando suas credenciais.

Assim que este ambiente de conexão é disponibilizado pela internet e considerando o acesso nativo do Windows, o risco para tentativas de invasão cresce exponencialmente pois em algum momento o endereço de rede para acesso poderá ser de conhecimento público, motivando os criminosos a burlar os protocolos de segurança para invadir o ambiente corporativo.

Diferente dos primórdios deste recurso que tinha uma boa quantidade de limitações a começar pela regionalidade das conexões, afinal de contas, uma conexão por RDP utilizando a linha telefônica para outro estado ou país certamente resultaria numa conta de consumo elevada. Agora, com a popularização da internet de alta velocidade as oportunidades legítimas ou criminosas aumentaram de maneira impressionante, as barreiras regionais transcendidas e sem a outrora preocupante utilização por consumo de internet, permitem uma infinidade de condições.

Outra falsa impressão reside na aparente condição de novidade, fato é que muitas corporações expuseram suas frágeis estratégias de utilização ao não protegerem adequadamente o protocolo RDP.

Considerando até o mês de abril e segundo o relatório da Kaspersky [aqui], as ameaças e ataques nessa modalidade atingiram rapidamente o nível global beirando impressionantes 1.3 milhão de investidas possivelmente diárias, podendo facilmente ser considerado como o maior vetor de ataques dedicados a propagação de ransonware.

As práticas de invasão pelo RDP costumam ser exploradas por várias maneiras. O pilar para essas investidas começa com a disponibilidade de conexão através da internet, como oportunidades seguintes temos os critérios a seguir:

1. Pesquisando portas RDP expostas: Muitas soluções de pesquisa funcionam hoje a partir do próprio navegador como o endereço [ shodan.io ],dedicado a procurar por portas disponíveis em dispositivos conectados à internet, sendo a porta 3389 como padrão para o protocolo RDP, facilita as pesquisas por dispositivos com esse recurso ativo.
2. Tentativa de acesso: Utilizando credenciais obtidas ilegalmente ou não e geralmente de perfis administradores, o criminoso cibernético persiste na tentativa de invasão onde a automatização nessa prática também é comum, através de rotinas ou softwares utilizando um dicionário de logins e repetindo continuamente as tentativas, não somente neste caso é uma prática conhecida como força bruta.
3. Desativando os mecanismos de proteção: Assim que o criminoso digital consegue acesso ao ambiente atacado, sua atenção é direcionada na desativação das proteções da rede em atividade. Quanto mais elevado o perfil administrativo da credencial utilizada, maior será a oportunidade do criminoso em desativar os recursos de segurança em utilização, não somente isso ele tem a oportunidade de ampliar seus dados apagando arquivos aleatoriamente, eliminando arquivos de backup e tudo o que estiver disponível para ser manipulado.
4. Aplicando os programas e processos maliciosos: Após deixar o ambiente totalmente desguarnecido, sua próxima atividade costuma ser a implantação de programas e rotinas maliciosas, os objetivos mais comuns estão entre a disseminação de keyloggers (registram tudo o que é digitado), roubo de informações confidenciais e/ou sigilosas, configuração de estações zumbis para distribuir mensagens em massa (spans) e não suficientes, a proliferação dos ransonwares para posterior exigência de resgates, a instalação de backdoors (acesso remoto oculto) também costuma ser aplicada para mesmo depois do ambiente restabelecido, ainda existir a possibilidade de acesso não permitido.

Práticas recomendadas para proteger o serviço RDP

Dependendo da versão do sistema operacional Windows em execução, é preciso desativar manualmente o protocolo RDP, deixando disponível apenas nas estações que necessitarem dessa opção e considerando este cenário é apresentado a seguir uma pequena lista de boas práticas que podem fortalecer tanto a implantação quanto o gerenciamento de um ambiente de rede utilizando o protocolo de comunicação RDP.

• Implementar uma solução VPN: Alternativamente ao ambiente utilizando o protocolo RDP, considerando as fragilidades apresentadas até aqui é recomendado pesquisar por soluções utilizando o modelo de conexão VPN (Virtual Private Network – Rede Virtual Privada) outro modelo reconhecidamente produtivo e seguro no acesso dos colaboradores à rede corporativa sem expor os sistemas por toda a Internet.
• Implementar o uso de senhas fortes: A utilização de combinações reconhecidamente fracas de credenciais tem sido grande motivador para os ataques. Definir uma política de senhas com combinações complexas e aleatórias reduz as chances de êxito na invasão dos sistemas, estabelecer uma renovação regular dessas combinações embora trabalhosa, pode aumentar mais o nível de proteção.
• Implementar a autenticação por multifator: Mesmo as senhas inicialmente indecifráveis podem ser eventualmente descobertas (ou compartilhadas) e ainda que não seja infalível, habilitar a autenticação multifator (MFA – Multi Factor Authentication) entra como proteção adicional, exigindo uma verificação adicional como um código único ou validação biométrica para obter o acesso em uma seção RDP.
• Implementar uma solução Firewall para moderar o acesso: A solução firewall permite um controle maior no fluxo entre a rede interna e externa, por exemplo delimitando o acesso por RDP a um único endereço IP ou um intervalo específico de endereços de rede.
• Implementar um Gateway para RD: Existente desde a versão 2008 do Windows Server, o servidor Gateway RD é reconhecidamente útil para simplificar a implantação e gerenciamento de um ambiente por RDP de maneira segura.
• Definir regras bloqueando IP´s com sucessivas falhas de acesso: Como indício da prática de invasão por força bruta é o grande número de tentativas fracassadas de login num curto espaço de tempo. Dessa maneira, conhecer e aplicar as Políticas de Conta do Windows então redefinindo e limitando a quantidade de tentativas que falharam atua como mais um nível de proteção contra ataques utilizando o protocolo RDP.
• Moderar o acesso remoto: Ainda que todos os administradores de rede ou ambientes de TI naturalmente tenham permissão para acesso por RDP, existe uma boa possibilidade que pouco deles realmente façam uso desse benefício. Identificar e eleger apenas os profissionais que farão uso dessa ferramenta reduzirá as chances para obtenção de informações privilegiadas.
• Modificar a porta padrão de escuta do RDP: Outra medida adicional de segurança reside em modificar a porta padrão de escuta do protocolo RDP (TCP 3389), dessa maneira as chances de identificação pelos criminosos será bem reduzida, ainda que só possa ser efetuada através do Editor de Registro do Windows e não ofereça dificuldades quando descoberta, fica como boa prática complementar no fortalecimento da segurança da rede.

Conclusão

Os eventos mundiais ocasionados pelo COVID-19 forçaram muitas corporações dos mais variados tamanhos a adotarem numa escala sem precedentes o modelo de trabalho remoto (Home Office), somando às que em alguma porcentagem já utilizavam essa oportunidade.

Infelizmente pelo grande senso de urgência, muitas empresas tornaram-se alvos fáceis para os criminosos pois não implementaram seus ambientes de maneia confiável ou segura, expondo lamentavelmente muitas das suas informações confidenciais e até comprometendo ambientes inteiros.

O conteúdo apresentado teve o interesse de enriquecer aos que concluírem a leitura, um pouco mais sobre o que é o serviço RDP assim como suas vantagens, riscos, desvantagens e alternativas de maneira que possa facilitar a adoção, melhoria ou até substituição desse recurso, uma vez que o trabalho remoto agora elevado a nível mundial tem grande potencial de atuar como modalidade permanente na execução das atividades cotidianas que não exijam a presença física do colaborador na empresa.