saverioriotto.it

Comprendere i rischi per la sicurezza su Internet del Protocollo di Desktop Remoto

Se non correttamente configurato e protetto, può fungere da gateway all'interno di un'organizzazione per consentire ai criminali informatici di accedere a risorse interne sensibili.

Comprendere i rischi per la sicurezza su Internet del Protocollo di Desktop Remoto

Oggi è molto comune per le aziende utilizzare RDP come metodo per accedere ai server, collaborare con altri dipendenti e accedere in remoto ai documenti archiviati e sottoposti a backup nel proprio ufficio. Data la sua vasta gamma di funzionalità all'interno di un'azienda, questo servizio basato su rete può anche essere utilizzato impropriamente dai criminali informatici per lanciare attacchi. Una recente statistica di Coveware ha evidenziato che RDP è il vettore di attacco più dominante, utilizzato nel 63,5% delle campagne di ransomware mirate divulgate nel primo trimestre del 2019.

Per aggiungere ulteriori problemi, l'anno 2019 ha visto la scoperta della pericolosa vulnerabilità di BlueKeep che ha avuto un impatto sull'implementazione del Protocollo desktop remoto di Microsoft. Nonostante gli aggiornamenti di sicurezza rilasciati da Microsoft, la vulnerabilità è stata ampiamente sfruttata in una campagna di cyber-spionaggio per estrarre criptovalute.

Minacce contro i servizi del PSR

 - RDP, se non correttamente configurato e protetto, può fungere da gateway all'interno di un'organizzazione per consentire ai criminali informatici di accedere a risorse interne sensibili.
 - Gli aggressori possono inoltre sfruttare i servizi RDP vulnerabili per eseguire l'esecuzione di codice in modalità remota e ottenere il controllo su gateway mirati.
 - Inoltre, i criminali informatici hanno sviluppato una vasta gamma di strumenti per cercare continuamente punti di accesso remoto su Internet. Poiché l'RDP è così ampiamente utilizzato, è un obiettivo comune per gli attacchi MiTM.
 - A seguito del rilascio di PoC per BlueKeep, Microsoft ha stimato che quasi 1 milione di dispositivi che utilizzano versioni precedenti di Windows sono attualmente aperti agli attacchi informatici a causa dei servizi RDP vulnerabili.

Azioni da intraprendere

Miglioramento della sicurezza dei PSR: l'applicazione di patch è un modo importante per migliorare la sicurezza dei PSR. Un RDP protetto in modo improprio può aprire le porte a infezioni da malware o attacchi ransomware mirati, con conseguente interruzione del servizio critico.

Limitazione dell'accesso: utilizzare i firewall per limitare l'accesso alle porte di ascolto del desktop remoto: l'impostazione predefinita è TCP 3389. Inoltre, si consiglia vivamente di utilizzare un gateway RDP per limitare l'accesso RDP a desktop e server.

Utilizzo di password complesse: le password complesse su tutti gli account con accesso a Desktop remoto devono essere considerate un passaggio necessario prima di abilitare Desktop remoto.

Abilitazione della modalità amministratore con restrizioni: in una situazione in cui ci sono più account amministratore su un computer, è molto necessario limitare l'accesso remoto a quegli account che ne hanno bisogno. Ciò impedisce gli attacchi dovuti all'escalation dei privilegi.

Abilitazione dell'autenticazione a livello di rete (NLA): per ridurre la quantità di risorse del server inizialmente richieste e quindi mitigare gli attacchi denial of service, è possibile utilizzare l'autenticazione a livello di rete (NLA). L'NLA può anche aiutare a proteggere dagli attacchi MiTM, in cui le credenziali vengono intercettate.

 




Commenti
* Obbligatorio