RDP SEMPRE PIU’ UTILIZZATO … MA SEMPRE PIU’ PERICOLOSO
SE NON SI ADOPERANO LE OPPORTUNE MISURE DI SICUREZZA
Continuiamo a ripeterlo, ed ora è stato emanato anche un Alert ufficiale dell’FBI e del Dipartimento di Sicurezza Nazionale Americano. Il Remote Desktop Protocol (RDP) è utilizzato sempre più dai criminali e può essere molto pericoloso per l’azienda se non viene utilizzato con tutte le idonee misure di sicurezza.
Del resto è dalla metà del 2016 che gli strumenti di Amministrazione Remota legittimi, proprio come l’RDP, sono stati presi di mira e sono diventati un vettore di attacco privilegiato contro le organizzazioni di tutto il mondo, al punto che le sessioni vulnerabili e le credenziali RDP vengono vendute sempre più nel Dark Web. Il valore delle credenziali è dato dalla posizione nella rete della macchina vulnerabile, dal software utilizzato, e da altri parametri che ne aumentano l’utilizzabilità.
E’ facile per un criminale identificare i sistemi che espongono il servizio RDP e capire se questo è vulnerabile. Una volta violato un sistema i criminali lo utilizzano per compiere attacchi alla rete interna, attacchi ad altre strutture, veicolare malware, violare l’identità di persone e aziende e quindi rivenderle o sfruttarle per attività illecita, sottrarre credenziali di accesso, e così via.
E’ doveroso per gli amministratori delle aziende, al giorno d’oggi, rivedere ed essere consapevoli di quali accessi remoti le loro reti permettono, capire se sono correttamente configurati, e disabilitare quelli non strettamente necessari.
Ricordiamo che il protocollo RDP può fornire, in base ai privilegi dell’utente che lo utilizza, il controllo completo sul sistema remoto, inoltre l’accesso alla machina avviene senza necessità di alcun intervento di un operatore dell’organizzazione, rendendo pertanto difficile le rilevazione delle intrusioni.
VULNERABILITA’
Di seguito un elenco, non esaustivo, degli elementi che rendono vulnerabile il protocollo RDP:
- Password deboli (password che utilizzano parole presenti in un dizionario, o di facile individuazione)
- Versioni obsolete o non aggiornate di RDP in quanto potrebbero utilizzare un meccanismo di crittografia (CredSSP) non sicuro e portare ad attacchi Man-In-The-Middle.
- Consentire l’accesso da qualsiasi macchina e alla porta predefinita (TCP 3389)
- Consentire infiniti tentativi di accesso
SICUREZZA
Ecco allora alcuni consigli che ribadiamo per non farsi trovare impreparati:
- Aggiornare sempre tutti i sistemi
- Mappare tutti gli accessi RDP della rete e accertarsi chi può accedervi
- Selezionare quali macchine possono accedere al servizio RDP da remoto e impostare tale regola nel firewall. Tali macchine dovrebbero inoltre essere controllate dall’azienda per accertarsi che sia sicura. Ricordiamo che sarebbe inutile proteggere il servizio RDP se è vulnerabile il computer dal quale ci colleghiamo, perché da quello è facile che ci possano rubare le credenziali.
- Posizionare qualsiasi sistema che espone un servizio RDP dietro un firewall e cercare di collegarsi attraverso una VPN.
- Abilitare password complesse e policy di blocco degli account per proteggere da attacchi Brute Force.
- Consentire, dove possibile, l’autenticazione a due fattori
- Mantenere una buona strategia di backup
- Abilitare la registrazione degli accessi e sessioni RDP
- Non tenere esposti in internet sistemi RDP che non sono necessari e limita le connessioni RDP con accesso dall’esterno e quello con accesso dall’interno. Inoltre è sconsigliato mantenere servizi RDP su sistemi critici.
- Sottoporre a scansione delle Vulnerabilità la rete aziendale, solo così si può essere certi che nulla sia fuori controllo o non aggiornato o obsoleto.
L’US-CERT nel incoraggiare gli utenti a leggere l’Alert e i suggerimenti di cui sopra, consiglia anche di leggere il documento sulla protezione dei dispositivi di rete e quello sulla scelta e protezione delle password (entrambi in inglese).
