Pplware

Porque devemos desligar o RDP para evitar ciberataques

Os ataques de force brute e os exploits de BlueKeep aproveitam-se das ligações RDP (Remote Desktop Protocol) diretas. A ESET explica a vulnerabilidade e o que devemos fazer para a evitar.

A ESET tem também disponível gratuitamente uma ferramenta que permite verificar se o seu sistema está vulnerável.


Apesar da vulnerabilidade BlueKeep (CVE-2019-0708) não ter causado o caos generalizado, neste artigo explicaremos as razões pelas quais ela está ainda num estágio inicial do seu ciclo de vida de exploração. O facto é que muitos sistemas ainda não foram atualizados e é ainda possível encontrar versões completamente suscetíveis de serem exploradas. Devido a estes fatores, a ESET criou uma ferramenta gratuita para verificar se um sistema é vulnerável.

Existe um velho ditado no campo da segurança da informação que diz que, se alguém tem acesso físico ao seu computador, então já não é o seu computador. A razão disto é bastante simples: a partir do momento em que os criminosos tenham acesso direto a um computador, podem alterar o que entenderem – instalar um keylogger, remover ou mesmo eliminar unidades de disco, copiar os dados, adicionar o que queiram no sistema, etc. Tudo se torna exponencialmente mais fácil quando existe acesso direto ao equipamento.

Empresas, escolas e todo o tipo de organizações estão conscientes disto, já que em nenhum destes lugares colocam os seus servidores no vestíbulo, na receção, na sala de visitas ou noutro espaço de fácil acesso físico por parte do público, funcionários, estudantes ou pessoal externo. Na verdade, nenhum negócio que queira manter-se de pé o pode permitir. Daí que seja comum que os servidores sejam colocados numa sala própria, dedicada, ou pelo menos numa zona fora do alcance da maioria do pessoal.

No entanto, apesar de todo este conhecimento comum, as lições aprendidas sobre segurança no mundo físico nem sempre se aplicam ao mundo da Internet. Há uma grande quantidade de servidores ligados diretamente à Internet que têm a correr várias versões de sistemas operativos Microsoft Windows para servidores, o que representa pouca ou nenhuma segurança prática sobre quem pode aceder aos mesmos. E isso leva-nos à discussão do RDP.

O que é o RDP?

RDP é a abreviatura de Remote Desktop Protocol, uma funcionalidade que permite que um computador se ligue a outro computador através de uma rede para usá-lo de forma remota. Num domínio, os computadores que executam um Windows cliente, como o Windows 7 ou Windows 10, vêm com um cliente RDP pré-instalado como parte do sistema operativo, que lhes permite ligarem-se a outros computadores em rede, incluindo servidores da organização. Uma ligação com um servidor neste caso significa que poderia estar a aceder diretamente ao sistema operativo do servidor, ou numa máquina virtual nesse servidor.

A partir dessa ligação, uma pessoa pode abrir pastas, fazer o download e upload de ficheiros e executar programas, como se estivesse a usar o teclado e o monitor ligados a esse servidor.

O RDP foi criado pela Citrix, em 1995, e vendido como parte de uma versão melhorada do Windows NT 3.51 denominada WinFrame. Em 1998, a Microsoft agregou o RDP à edição Windows NT 4.0 Terminal Server. Desde então, o protocolo passou a fazer parte de todas as versões Windows Server, para além de estar incluído em todas as edições para utilizadores não domésticos dos sistemas operativos clientes desde que foi lançado o XP, em 2001.

Hoje, utilizadores comuns de RDP são os administradores de sistemas que realizam a administração remota de servidores, sem necessidade de se deslocarem à sala de servidores, assim como trabalhadores remotos que podem ligar-se a máquinas do escritório virtualizadas dentro do domínio da sua organização.

O que fazem os hackers com o RDP?

Durante os últimos anos, a ESET tem visto um número cada vez maior de incidentes nos quais os atacantes se ligavam remotamente a um servidor de Windows a partir da Internet utilizando RDP e iniciavam sessão como administrador do computador.

Uma vez que os hackers iniciam sessão no servidor como administrador, geralmente realizam um reconhecimento para determinar para que se utiliza o servidor, por quem e quando está a ser usado.

Uma vez que os atacantes conhecem o tipo de servidor e o que controlam podem começar a realizar ações maliciosas. Algumas das atividades maliciosas mais comuns que temos visto incluem:

Apesar de esta não ser uma lista completa de todas as coisas que um hacker pode fazer, tão pouco significa que um hacker realize todas estas atividades. Mas duas das ações mais comuns que realizam são:

Em alguns casos, os hackers podem instalar adicionalmente algum software para o controlo remoto com o objetivo de manter o acesso (persistência) a um servidor comprometido caso se descubra e finalize a sua atividade RDP.

Não detetamos até agora nenhum servidor comprometido que seja usado simultaneamente para extorsão através de ransomware e para fazer mineração de criptomoedas, mas temos visto casos em que um hacker comprometeu um servidor para minerar criptomoedas e que logo outros atacantes comprometeram esse mesmo servidor para que os resultados da mineração passassem para o seu nome. Parece que existem poucos escrúpulos entre os ladrões!

O conhecimento acerca dos ataques RDP chegou a um ponto em que mesmo aqueles que praticam golpes de sextorsion mencionam esses ataques nas notas de resgate que enviam às vítimas na tentativa de tornar mais efetivos os golpes.

 

Ataques massivos de RDP com a chegada de Bluekeep

Os ataques realizados com RDP têm sido lentos, mas constantes, e têm vindo a aumentar. No entanto, em maio de 2019, as comportas abriram-se com a chegada do CVE-2019-0708, também conhecida como “Bluekeep”, uma vulnerabilidade no RDP que afeta o Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2. Em equipamentos desktop, o Windows 8 e as versões posteriores não são afetadas; e, no caso dos servidores, o mesmo acontece com o Windows Server 2012 e versões posteriores.

A vulnerabilidade Bluekeep permite aos hackers executar código de forma arbitrária nos computadores das suas vítimas. Embora até hackers individuais possam representar uma ameaça generalizada, já que podem usar ferramentas automatizadas para os ataques, esta vulnerabilidade possui caraterísticas de “worm”, o que significa que um ataque poderia propagar-se automaticamente através das redes sem nenhuma intervenção dos utilizadores, da mesma forma que fizeram no passado ameaças conhecidas como os worms Win32/Diskcoder.C (mais conhecido como NotPetya) e Conficker.

A exploração de vulnerabilidades com caraterísticas de worm são geralmente consideradas um problema grave. A Microsoft catalogou a vulnerabilidade como “crítica” e publicou um comunicado através do qual recomenda encarecidamente aos utilizadores que instalem os seus patches, incluindo os que se destinam a sistemas operativos que já não têm suporte, como o Windows XP e o Windows Server 2003.

As preocupações sobre uma vulnerabilidade possível de explorar eram tão altas que, no início de junho de 2019, a Agência de Segurança Nacional (NSA) dos EUA emitiu um aviso, pouco frequente, a recomendar a instalação dos patches lançados pela Microsoft para reparar a falha.

No início de setembro de 2019, o Rapid7, o desenvolvedor da ferramenta de teste de penetração Metasploit, anunciou o lançamento de um exploit para Bluekeep. Embora não existam informações importantes na atividade do Bluekeep durante os meses seguintes, esta situação teve alterações recentes: em pelo menos 9% de computadores vulneráveis atacados, os hackers instalaram com êxito software para minerar Monero. Portanto, apesar de não se tratar dos ataques mais temíveis, parece que um grupo criminoso tem uma exploração automatizada, mesmo que sem uma elevada taxa de êxito.

Na origem deste artigo, o objetivo não era fazer uma descrição detalhada da vulnerabilidade, nem proporcionar um cronograma da sua exploração, o objetivo era alertar os leitores sobre a forma como se podem proteger contra esta ameaça. Assim, passemos ao que se pode realmente fazer.

 

Defesa contra ataques através de RDP

E o que é mesmo possível fazer? Bom, primeiro, e obviamente, deve evitar ligar-se aos seus servidores através da Internet utilizando RDP. Esta pode ser uma questão problemática para algumas empresas. No entanto, com o suporte para Windows Server 2008 e Windows 7 terminado no final de janeiro de 2020, ter computadores que ainda os executam e são diretamente acessíveis através de RDP pela Internet representa um risco significativo para o negócio.

Isto não significa que deva deixar de usar o RDP de imediato, mas sim que se devem tomar medidas adicionais para garantir que tal acontecerá o quanto antes. Com esta finalidade criámos uma lista com os dez passos principais que pode seguir para começar a proteger os computadores dos ataques baseados no RDP.

Utilização do verificador de BlueKeep (CVE-2019-0708) da ESET para detetar equipamentos vulneráveis

A ESET lançou uma ferramenta gratuita para verificar se um computador com Windows é vulnerável à exploração de BlueKeep (CVE-2019-0708), que pode ser descarregada a partir daqui.

Este programa foi testado nas versões de 32 bits e 64 bits do Windows XP, Windows Vista, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 antes e depois de aplicar as atualizações da Microsoft para Bluekeep. Para usar o programa, basta correr o executável.

Exit mobile version