Protocolo de Escritorio Remoto: un potente vector de entrada de amenazas en tu red

07 Abril 2021
Informativo

Durante 2020, vimos como muchas empresas se vieron en la necesidad de implantar y principiar en el teletrabajo, la pandemia impuso un desafío para todas las industrias del mundo: mantenerse en el mercado. Esto conllevó a una aceleración en los planes de digitalización que en múltiples casos trajo consigo brechas de seguridad que no fueron abordadas y que han sido fuertemente explotadas por los ciberactores maliciosos alrededor del mundo.
 

¿Qué hemos podido evidenciar en este periodo?
Si analizamos el panorama de las amenazas presentes en este último año, surgen diversas visiones, entre las que destacan:

  • Incremento de variantes de ransomware
  • Aumento de Phishing
  • Incremento de ataques de Fuerza Bruta
  • Venta de credenciales por mercados ilegales
     

Si nos focalizamos en cada una de ellas, podremos evidenciar un hecho alarmante: todas estas amenazas están ligadas de alguna forma al Protocolo de Escritorio Remoto (RDP), uno de los vectores de ataque más utilizados en este último periodo.
 

 

A nivel global, uno de los principales vectores de ataque utilizados para poder distribuir las distintas variantes de malware son los puntos de acceso del Protocolo de escritorio remoto (RDP) sin configuraciones seguras. Es importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar montos que varían entre los US$5 y +US$9.000 en mercados negros. Este escenario se presenta, debido a que en combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP expuestos a Internet son económicamente demasiado lucrativos.

Durante 2020, logramos registrar que más del 55% de los ataques de ransomware se originaron por explotación de vulnerabilidades y compromisos de credenciales del protocolo de escritorio remoto (RDP), sumado a esto un factor determinante respecto a la falta de conciencia digital y políticas maduras con planes de trabajo para la actualización de sistemas y plataformas, hemos evidenciado el mayor de los desastres informáticos de los últimos dos años. Lamentablemente, las estadísticas han demostrado un escenario favorable para la facilidad de explotación de los sistemas en Chile. Menos del 38% de las empresas tienen políticas maduras para el parcheado de su infraestructura.

Es natural que la dirección de las organizaciones privilegie la operación por sobre la seguridad, no existe ninguna empresa que haya nacido pensando en que su negocio debe estar orientado a ser el más seguro. No obstante, la madurez de sus operaciones siempre estará ligada a infraestructura digital, es por ello que debemos dar la visibilidad a las gerencias respecto al valor que involucra para el negocio, la exposición de sus datos e infraestructura por falta de actualización oportuna.

 

El Protocolo de Escritorio Remoto, permite que una computadora se conecte a otra a través de una red para usarla de forma remota.

En la actualidad, todos los usuarios que tengan instalado en sus computadoras sistemas operativos de Windows tendrán un software de "cliente RDP" preinstalado, lo que les permite conectarse a otras computadoras en la red, incluidos los servidores de la organización. Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, como si estuviera usando el teclado y el monitor conectados a ese servidor.

RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft agregó RDP a la edición Windows NT 4.0 Terminal Server. Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de estar incluido en todas las ediciones para usuarios no domésticos de los sistemas operativos Windows Client desde que se lanzó Windows XP en 2001. Hoy, usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.


Network Level Authentication (NLA)

La autenticación de nivel de red (NLA) es una herramienta de autenticación disponible desde Windows Vista en adelante, que se puede utilizar en la conexión de escritorio remoto (RDP), la cual obliga a que el usuario que se conecta se autentique antes de que se pueda establecer una sesión con el dispositivo remoto.

Si esta funcionalidad no está habilitada, existen algunos riesgos asociados, ya que un atacante podría ser capaz de:

  • Obtener la huella digital precisa de la versión de Windows.
  • Identificar potencialmente cuentas de usuario en el sistema.
  • Aprovechar el servicio RDP para consumir recursos excesivos del sistema.

 

Para mayor entendimiento, se presentan algunas vistas cuando NLA está deshabilitado o habilitado.
 

  1. Sesión RDP con Network Level Authentication (NLA) deshabilitado



     
  2. Sesión RDP con Network Level Authentication (NLA) habilitado:

 

¿En qué consiste un ataque de RDP y qué impacto tiene a las organizaciones?

En palabras simples, un ataque de RDP consiste en la intrusión por parte de un atacante hacía el protocolo de escritorio remoto de una víctima por medio de algunos de los siguientes vectores:

  • Accesos vulnerables.
  • Ataques de fuerza bruta.
  • Uso de credenciales robadas, comercializadas en mercados ilegales o leaks.

Por medio de esta acción, los atacantes logran ingresar a un escritorio remoto siendo capaces de ejecutar comandos que podrían provocar los siguientes Impactos:


 

Las acciones antes descritas pueden realizarse de forma directa por los perpetradores que logran obtener los accesos de forma ilegítima, o bien, por terceros que adquieren dichos accesos al pagar por ellos, independientemente de sus conocimientos o habilidades técnicas. Entre los impactos más críticos, destaca principalmente que: con el compromiso de uno de los terminales expuestos, estamos entregando acceso a la red interna de nuestra organización debido a la capacidad de reconocimiento y movimientos laterales hacia otros recursos.

"Si un adversario tiene acceso físico a tu computadora, ya no es tu computadora"
 


 

El año 2020, dio inicio y pie a un abismante crecimiento que tuvieron los intentos de ataque al protocolo de escritorio remoto (RDP), en especial durante el tercer trimestre del mismo año, lo cual se atribuye principalmente al teletrabajo.

 

¿Por qué resulta de interés para los atacantes el RDP?

Es importante destacar que credenciales RDP para una dirección IP empresarial se pueden comprar por tan solo US$ 5 en mercados negros. En combinación con kits de ransomware baratos, los costos para llevar a cabo ataques en máquinas con RDP abierto son demasiado lucrativos económicamente, ya que permiten el acceso completo al sistema para así continuar con escalamientos verticales u horizontales dentro de la red.

 

Además de los ataques de fuerza bruta, la explotación de vulnerabilidades es otra de las amenazas relacionadas con las conexiones remotas y, en particular, al protocolo de escritorio remoto. dentro del panorama de vulnerabilidades podemos destacar las siguientes:
 

A. BlueKeep (CVE-2019-0708)

Desde su aparición en mayo de 2019, BlueKeep (CVE-2019-0708) ha mantenido una actividad importante, ya que aún se registran activos comprometidos, por lo que nuevamente destacamos la falta de madurez en los procesos de parcheado en las organizaciones. El exploit relacionado con esta vulnerabilidad, permite la ejecución de código de forma remota, por lo que busca ser aprovechada por atacantes de manera constante como una forma de comprometer los sistemas conectados a Internet de potenciales víctimas.
 

CVE-2019-0708: Es la quinta vulnerabilidad más explotada durante 2020 y 2021
 

BlueKeep no sólo representa un riesgo por el hecho de ser una vulnerabilidad de ejecución de código remoto, sino también debido a su comportamiento de “gusano”, es decir, un atacante podría incorporar BlueKeep dentro de una pieza de malware y lograr un ataque con una propagación automatizada similar a la que tuvo WannaCry en el año 2017. No obstante, esta vulnerabilidad sólo puede ser explotada en sistemas operativos ya obsoletos de Microsoft.


BlueKeep y RDP a nivel mundial por continentes

 


Línes de tiempo de BlueKeep durante 2019

 

B. DejaBlue (CVE-2019-1181 CVE-2019-1182 CVE-2019-1222 y CVE-2019-1226) 

En agosto de 2019, Microsoft utilizó su "Patch Tuesday" para lanzar nuevos parches relacionados a CVE que afectaban al protocolo de escritorio remoto. De esas vulnerabilidades, cuatro se destacan por su sorprendente similitud con la vulnerabilidad BlueKeep.
 

  • CVE-2019-1181 y CVE-2019-1182: afectan a los dispositivos que ejecutan Windows 7, Windows 8.1 o Windows 10, así como a cualquier dispositivo que ejecute Windows Server 2008, Windows Server 2012, Windows Server 2016 o Windows Server 2019.
  • CVE-2019-1222 y CVE-2019-1226: afectan a los dispositivos que ejecutan Windows 10 o Windows Server 2019.
     

Las vulnerabilidades de DejaBlue se basan en fallas en las primeras etapas de una conexión RDP. Dado que las fallas residen en los procesos que preceden a la fase de autenticación, no se requiere conocimiento previo de contraseñas o claves para emprender un ataque que, en última instancia, puede conducir a la ejecución ilícita de código remoto.

Al igual que la vulnerabilidad "BlueKeep" previamente mencionada, estas vulnerabilidades también tienen un comportamiento de “gusano”, lo que significa que cualquier malware futuro que las aproveche podría propagarse de una computadora vulnerable a otra sin la interacción del usuario.

Las cuatro vulnerabilidades recibieron puntuaciones de gravedad crítica de 9,8.

Para estas vulnerabilidades, al día de hoy, no existen exploits ni técnicas de conocimiento público, sin embargo, no se descarta la posibilidad que puedan existir en un ambiente más privado o estén siendo comercializados en la Deep Web.


C. CVE-2021-1669 Vulnerabilidad de omisión de la característica de seguridad de escritorio remoto de Windows

Si bien ninguno de los errores corregidos el año 2020 mereció un nombre, podemos decir que ya en enero de este año fue notificada una vulnerabilidad clasificada como crítica que ha sido encontrada en Microsoft Windows (Operating System). Una función desconocida del componente RDP es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad de la información.

La vulnerabilidad fue publicada el 12 de enero 2021 e identificada como CVE-2021-1669. Se considera fácil de explotar. El ataque puede ser iniciado desde la red y la explotación requiere una autentificación. Para esta vulnerabilidad, al día de hoy, no existen exploits ni técnicas de conocimiento público, sin embargo, no se descarta la posibilidad que puedan existir en un ambiente más privado o estén siendo comercializados en la Deep Web.

Productos afectados:

  • Microsoft Windows; 10 (32 y 64 bits)
  • Microsoft Windows Server: 2016, 2019

Puntuación base de CVSSv3: 8.8

 

El tipo de ataque más común que se utiliza es el de fuerza bruta, en el que los delincuentes intentan encontrar el nombre de usuario y la contraseña para la conexión RDP probando diferentes combinaciones hasta que se descubre la correcta. Una vez que se encuentra, los ciberdelincuentes obtienen acceso remoto a la computadora de destino en la red.

A principios de marzo de 2020, el número de ataques de fuerza bruta RDP se disparó, lo que dio como resultado que el número total de ataques durante el 2021 alcanzará los 3.300 millones. En comparación con el año 2019, donde fueron detectados 969 millones de ataques de este tipo en todo el mundo.

En febrero de 2021, se evidenciaron 377,5 millones de ataques de fuerza bruta dirigidos a RDP, lo que subraya un aumento masivo respecto a los 91,3 millones observados el mismo mes en 2020. En algunos países, estos ataques se triplicaron, mientras que en otros crecieron hasta 10 veces.


 

Muchos de los ataques que los investigadores están viendo contra RDP son ataques de fuerza bruta. Estos requieren un esfuerzo mínimo de los atacantes, pero siguen siendo efectivos porque las personas continúan usando contraseñas simples que pueden ser quebradas.

 

Los mercados ilícitos están vendiendo acceso a escritorios remotos comprometidos, esta tendencia se intensificó enormemente durante el año pasado, lo que hace que el acceso RDP sea un objetivo atractivo para los ciberactores maliciosos. Múltiples credenciales a servidores expuestos, se pueden encontrar a la venta en foros y mercados de piratas informáticos.

Los listados del tipo "Initial Access Brokers" han tenido un aumento notable en el ecosistema de la darkweb. Los vendedores obtienen credenciales RDP para acceder a redes privadas, pero esto es solo el comienzo, porque después, actúan como intermediarios proporcionando los datos robados al mejor postor.

Los precios de estas credenciales son variados, y dependerán principalmente de la organización a la cual se ha obtenido acceso, entendiendo el impacto ya nombrado que podría causar un atacante que logra ingresar con credenciales RDP válidas a las redes de las empresas o instituciones. La demanda es bastante alta.

Si bien una dirección IP empresarial se pueden comprar por tan solo US$ 5 en mercados negros, un listado de credenciales de una empresa "importante", comenzará en alrededor de US$ 10.000, pero los precios siguen variando dependiendo de la cantidad de máquinas que el comprador podría acceder y, por lo tanto, explotar. Una conclusión probable es que cuanto más alto sea el precio, mayor será la cantidad de máquinas a las que el comprador podrá acceder, lo que brinda más oportunidades de explotación.

Este método de acceso es particularmente popular entre las bandas de ransomware, quienes potencialmente pueden recuperar lo que pagan por el acceso muchas veces emitiendo demandas de rescate de cientos de miles o incluso millones de dólares: $ 10,000 en el acceso inicial es despreciable si el objetivo puede ser extorsionado para pagar un rescate de hasta 15 veces más en criptomonedas.

El análisis de algunos de los foros más populares para vender credenciales de RDP encontró que la educación, la salud , la tecnología, la industria y las telecomunicaciones son los objetivos más populares. Una organización en cualquiera de estas industrias sería un objetivo potencialmente lucrativo para un atacante de ransomware.

 

Bassterlord

Alias: Bassterlord - Basterlord

Puntos importantes:

  • Bassterlord afirma que en 2019 fueron contratados por un mentor para "bancos de spam y oficinas financieras (extranjeras)". Este mentor, que proporcionó asesoramiento, supuestamente es un afiliado de ransomware Sodinokibi. A partir de ese año, Bassterlord se especializó en vender acceso de escritorio remoto, principalmente por fuerza bruta.
  • Bassterlord proporciona acceso a cuatro amenazas: REvil, Lockbit, Ransomex y Abbadon.
  • El actor de amenazas también ofrece capacitación y tutoría como un servicio.

Evaluación

  • Bassterlord es un pequeño equipo de ciberactores maliciosos que presuntamente están en la escena clandestina desde 2016, trabajando con una variedad de actividades delictivas. 
  • El actor de la amenaza es de un país de Europa del Este / Asia Central, pero no está claro exactamente su procedencia; si es Rusia, Ucrania o Moldavia.
  • Según comunicados emitidos por este mismo grupo de ciberactores, tienen acceso a cuatro herramientas: REvil, Lockbit, Ransomex y Abbadon, pero en 2021 solo se ha evidenciado que han utilizado Lockbit y Abaddon.

Su lista de víctimas incluye:

  • Panasonic India.
  • El Departamento de Impuestos de la India.
  • La compañía de cámaras Olympus.
  • La Armada de Uruguay.
  • NedBank Africa.
  • MobiTV.
  • La Universidad Estatal de Nuevo México.

 


Mespinoza

Alias: PYSA - Mespinoza

Puntos importantes:

  • El 16 de marzo, la Oficina Federal de Investigaciones (FBI) emitió una alerta "Flash" sobre el ransomware PYSA después de un aumento en los ataques de este mes contra instituciones en el sector educativo.
  • PYSA, también conocida como Mespinoza, se vio por primera vez en octubre de 2019, donde se usó inicialmente contra grandes redes corporativas. 
  • PYSA puede llegar a las redes de las víctimas a través de campañas de phishing o mediante credenciales de protocolo de escritorio remoto (RDP) de fuerza bruta para obtener acceso.
  • El informe del FBI también revela una posible táctica de doble extorsión que podría ocurrir contra las víctimas.


 

Si analizamos el panorama de las amenazas presentes en este último periodo, podemos notar que las tendencias de compromiso al protocolo RDP están vinculadas a:

  • Múltiples variantes de Ransomware comprometiendo RDP para perpetrar sus acciones delictivas
  • Incremento de ataques de Fuerza Bruta contra servidores expuestos de RDP a nivel mundial
  • Venta de credenciales RDP por mercados ilegales
  • Fuerta explotación de vulnerabilidad "BlueKeep" a nivel mundial

Durante 2020 la tendencia de entrada de ransomware hacia sus víctimas estuvo marcada por un fuerte compromiso de RDP, con una media del 55%, sin embargo, durante 2021 hemos evidenciado que este porcentaje ha disminuido considerablemente llegando a una atribución del 35%.

 

Las recomendaciones para reducir estos riesgos son ajustes de configuración disponibles en todos los servicios RDP, las que no requieren de mayor consumo de recursos, haciendo actualizaciones y capacitando a los usuarios sobre cómo conectarse:

  • Deshabilitar o eliminar servicios remotos siempre que sea posible. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • No permitir el acceso remoto directamente desde internet. En cambio, imponga el uso de puertas de enlace de acceso remoto junto con una VPN que requiera autenticación de múltiples factores.
  • Requerir credenciales únicas e intransferibles para cualquier servicio de acceso remoto. Si no es posible cerrar el puerto, limite las direcciones IP de origen que pueden conectarse mediante RDP en la lista blanca, para que solo las máquinas de confianza puedan conectarse.
  • Implementar disposiciones de bloqueo de contraseña para evitar intentos de fuerza bruta.
  • Instale multifactores de autenticación (MFA) y exíjalo en todas las cuentas que puedan iniciar sesión a través de RDP.
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada.
  • Para todas las cuentas que puedan iniciar sesión a través de RDP, se requieren contraseñas complejas (es obligatoria una contraseña larga que contenga más de 15 caracteres sin palabras relacionadas con la empresa, nombres de productos o los usuarios)
  • Habilitar la autenticación de nivel de red (NLA). Cuando se habilita esta opción, los usuarios deben autenticarse en la red antes de conectarse a tu equipo. Permitir conexiones sólo desde equipos que ejecutan Escritorio remoto con NLA es un método de autenticación más seguro que puede ayudar a proteger el equipo de usuarios y software malintencionados.


Por otra parte se recomienda la implementación de soluciones de ciberseguridad que logren identificar amenazas por comportamiento, lo cual permitiría Prevenir, Detectar y Responder ante las amenazas analizando data directamente desde su red y comportamientos de sus colaboradores (xDR), aplicando inteligencia artificial y aprendizaje de máquinas para detener ataques sofisticados, como también orquestando, automatizando y respondiendo (xSOAR).

Finalmente, entendiendo que en la actualidad al menos el 80% del tráfico de las redes organizacionales transita cifrado, es primordial tener la capacidad de poder visualizarlo para poder detectar y responder ante algún leak de información o comunicaciones desde su organización hacia servidores malicosos de C&C fuera de su red.
 


https://www.paloaltonetworks.com/cortex/threat-intel-management

 

El FBI recomienda los siguientes pasos para proteger mejor el acceso remoto:

  • Utilice la autenticación multifactor (MFA).
  • Utilice contraseñas seguras para proteger las credenciales del Protocolo de escritorio remoto (RDP).
  • Asegúrese de que los antivirus, los filtros de correo no deseado y los cortafuegos estén actualizados y configurados correctamente.
  • Audite las configuraciones de red y aísle los sistemas informáticos que no se puedan actualizar.
  • Audite su red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique MFA siempre que sea posible y registre los intentos de inicio de sesión de RDP.
  • Registros de auditoría para todos los protocolos de conexión remota.
  • Capacite a los usuarios para identificar y reportar intentos de ingeniería social .
  • Identificar y suspender el acceso de usuarios que exhiban una actividad inusual.
  • Mantenga el software actualizado.

 


Tags: #RDP #Bluekeep #DejaBlue #Bassterlord #Pysa #FBI #NLA #Mespinoza


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.