La capacità degli hacker di sfruttare quasi ogni vulnerabilità rappresenta una delle maggiori sfide per le forze dell'ordine e per le piccole imprese. Il Federal Bureau of Investigation ha recentemente lanciato un avviso alle imprese e agli altri su un'altra minaccia. Gli hacker hanno iniziato a sfruttare il protocollo RDP (Remote Desktop Protocol) per svolgere attività dannose con maggiore frequenza.
Secondo l'FBI, l'utilizzo del protocollo Desktop remoto come vettore di attacco è aumentato da metà a fine 2016. L'aumento degli attacchi RDP è stato in parte guidato da mercati oscuri che vendono l'accesso al protocollo Desktop remoto. Questi cattivi attori hanno trovato modi in cui identificare e sfruttare sessioni RDP vulnerabili su Internet.
$config[code] not foundPer le piccole imprese che utilizzano RDP per controllare da remoto i computer di casa o dell'ufficio, è necessaria una maggiore vigilanza, compresa l'implementazione di password complesse e la loro modifica periodica.
Nel suo annuncio, l'FBI avverte: "Gli attacchi che utilizzano il protocollo RDP non richiedono l'input dell'utente, rendendo difficile l'individuazione delle intrusioni".
Cos'è il protocollo Desktop remoto?
Progettato per l'accesso e la gestione da remoto, RDP è un metodo Microsoft per semplificare il trasferimento dei dati delle applicazioni tra utenti client, dispositivi, desktop virtuali e un server terminal Remote Desktop Protocol.
In poche parole, RDP ti consente di controllare il tuo computer da remoto per gestire le tue risorse e accedere ai dati. Questa funzione è importante per le piccole imprese che non utilizzano il cloud computing e fanno affidamento sui propri computer o server installati nei locali.
Questa non è la prima volta che RDP ha presentato problemi di sicurezza. In passato, le prime versioni avevano vulnerabilità che le rendevano vulnerabili a un attacco man-in-the-middle che dava agli aggressori accesso non autorizzato.
Tra il 2002 e il 2017 Microsoft ha rilasciato aggiornamenti che risolvevano 24 principali vulnerabilità legate al protocollo Desktop remoto. La nuova versione è più sicura, ma l'annuncio dell'FBI sottolinea che gli hacker lo usano ancora come vettore di attacchi.
Hacking del protocollo Desktop remoto: le vulnerabilità
L'FBI ha identificato diverse vulnerabilità, ma tutto inizia con password deboli.
L'agenzia dice che se usi le parole del dizionario e non includi una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali, la tua password è vulnerabile agli attacchi di forza bruta e dizionario.
Anche il protocollo Desktop remoto obsoleto che utilizza il protocollo Credential Security Support Provider (CredSSP) presenta vulnerabilità. CredSSP è un'applicazione che delega le credenziali dell'utente dal client al server di destinazione per l'autenticazione remota. Un RDP obsoleto rende possibile lanciare potenzialmente attacchi man-in-the-middle.
Altre vulnerabilità includono l'accesso illimitato alla porta predefinita del protocollo Desktop remoto (TCP 3389) e consentono tentativi di accesso illimitati.
Hacking del protocollo Desktop remoto: minacce
Questi sono alcuni esempi delle minacce elencate dall'FBI:
CrySiS Ransomware: Il ransomware CrySIS si rivolge principalmente alle aziende statunitensi attraverso porte RDP aperte, utilizzando attacchi di tipo brute-force e dizionario per ottenere l'accesso remoto non autorizzato. CrySiS quindi rilascia il suo ransomware sul dispositivo e lo esegue. Gli attori delle minacce richiedono il pagamento in Bitcoin in cambio di una chiave di decrittazione.
CryptON Ransomware: CryptON ransomware utilizza attacchi a forza bruta per accedere alle sessioni RDP, quindi consente a un operatore di minacce di eseguire manualmente programmi dannosi sulla macchina compromessa. Gli attori informatici in genere richiedono Bitcoin in cambio di indicazioni sulla decrittografia.
Samsam Ransomware: Samsam ransomware utilizza una vasta gamma di exploit, compresi quelli che attaccano macchine con RDP, per eseguire attacchi a forza bruta. Nel luglio 2018, gli attori delle minacce di Samsam hanno utilizzato un attacco di forza bruta sulle credenziali di accesso RDP per infiltrarsi in un'azienda sanitaria. Il ransomware è stato in grado di crittografare migliaia di macchine prima del rilevamento.
Scambio web scuro: Gli attori delle minacce acquistano e vendono le credenziali di accesso RDP rubate sul Dark Web. Il valore delle credenziali è determinato dalla posizione della macchina compromessa, dal software utilizzato nella sessione e da eventuali attributi aggiuntivi che aumentano l'utilizzabilità delle risorse rubate.
Hacking del protocollo Desktop remoto: come proteggersi?
È importante ricordare ogni volta che si tenta di accedere a qualcosa in remoto, c'è un rischio. E poiché Remote Desktop Protocol controlla completamente un sistema, è necessario regolare, monitorare e gestire chi ha accesso da vicino.
Implementando le seguenti best practice, l'FBI e il Dipartimento di sicurezza nazionale degli Stati Uniti affermano di avere una possibilità migliore contro gli attacchi basati su RDP.
- Abilita password complesse e policy di blocco degli account per difendersi dagli attacchi brute-force.
- Utilizza l'autenticazione a due fattori.
- Applica regolarmente aggiornamenti di sistema e software.
- Avere una strategia di backup affidabile con un forte sistema di recupero.
- Abilita la registrazione e garantisce i meccanismi di registrazione per acquisire gli accessi al protocollo Desktop remoto. Conserva i registri per almeno 90 giorni. Allo stesso tempo, rivedi gli accessi per assicurarti che solo quelli con accesso li stiano utilizzando.
Puoi dare un'occhiata al resto dei consigli qui.
I titoli delle violazioni dei dati sono regolarmente nelle notizie e sta accadendo a grandi organizzazioni con risorse apparentemente illimitate. Anche se può sembrare impossibile proteggere la tua piccola impresa da tutte le minacce informatiche esistenti, puoi ridurre i rischi e la responsabilità se disponi dei protocolli giusti con una governance rigorosa per tutte le parti.
Immagine: FBI