RDP en el radar: una vista de cerca de las amenazas de acceso remoto en evolución

A medida que la pandemia de COVID-19 se extendió por todo el mundo, muchos de nosotros, incluido yo mismo, recurrimos a trabajar a tiempo completo desde casa. Muchos de los empleados de ESET ya estaban acostumbrados a trabajar de forma remota parte del tiempo, y en gran medida se trataba de ampliar los recursos existentes para manejar la afluencia de nuevos trabajadores remotos, como comprar algunas computadoras portátiles más y licencias de VPN.

Sin embargo, no se puede decir lo mismo de muchas organizaciones en todo el mundo, que tuvieron que configurar el acceso para su fuerza de trabajo remota desde cero o al menos escalar significativamente sus servidores de Protocolo de escritorio remoto (RDP) para que el acceso remoto fuera utilizable para muchos. usuarios concurrentes.

Para ayudar a esos departamentos de TI, particularmente a aquellos para quienes una fuerza de trabajo remota era algo nuevo, trabajé con nuestro departamento de contenido para crear un documento que analiza los tipos de ataques que ESET estaba viendo y que estaban dirigidos específicamente a RDP, y algunos pasos básicos para protegerse contra ellos. . Ese papel se puede encontrar aquí en el blog corporativo de ESET, por si tienes curiosidad.

Casi al mismo tiempo que ocurría este cambio, ESET reintrodujo nuestra informes de amenazas, y una de las cosas que notamos fue que los ataques RDP continuaron creciendo. De acuerdo con nuestro informe de amenazas para los primeros cuatro meses de 2022, mas de 100 millones se intentaron tales ataques, más de la mitad de los cuales se remontaron a bloques de direcciones IP rusas.

Claramente, era necesario volver a analizar los exploits de RDP que se desarrollaron y los ataques que posibilitaron en los últimos dos años para informar lo que ESET estaba viendo a través de su inteligencia de amenazas y telemetría. Entonces, hemos hecho precisamente eso: una nueva versión de nuestro artículo de 2020, ahora titulado Protocolo de escritorio remoto: configuración del acceso remoto para una fuerza laboral segura, ha sido publicado para compartir esa información.

¿Qué ha estado pasando con RDP?

En la primera parte de este documento revisado, analizamos cómo han evolucionado los ataques en los últimos dos años. Una cosa que me gustaría compartir es que no todos los ataques han ido en aumento. Para un tipo de vulnerabilidad, ESET vio una marcada disminución en los intentos de explotación:

• Detecciones del BlueKeep (CVE-2019-0708) exploitable wormable en Remote Desktop Services ha disminuido un 44% desde su punto máximo en 2020. Atribuimos esta disminución a una combinación de prácticas de parches para las versiones afectadas de Windows más protección contra exploits en el perímetro de la red.

Una de las quejas más frecuentes sobre las empresas de seguridad informática es que pasan demasiado tiempo hablando de que la seguridad siempre empeora y no mejora, y que las buenas noticias son poco frecuentes y transitorias. Algunas de esas críticas son válidas, pero la seguridad siempre es un proceso continuo: siempre surgen nuevas amenazas. En este caso, ver que los intentos de explotar una vulnerabilidad como BlueKeep disminuyen con el tiempo parece una buena noticia. RDP sigue siendo ampliamente utilizado, y esto significa que los atacantes continuarán investigando las vulnerabilidades que pueden explotar.

Para que una clase de exploits desaparezca, todo lo que sea vulnerable a ellos tiene que dejar de usarse. La última vez que recuerdo haber visto un cambio tan generalizado fue cuando Microsoft lanzó Windows 7 en 2009. Windows 7 vino con soporte para AutoRun (AUTORUN.INF) deshabilitado. Luego, Microsoft adaptó este cambio a todas las versiones anteriores de Windows, aunque no perfectamente. primera vez. Una característica desde que se lanzó Windows 95 en 1995, AutoRun se abusó mucho para propagar gusanos como Conficker. En un momento, los gusanos basados ​​en AUTORUN.INF representaron casi una cuarta parte de las amenazas encontradas por el software de ESET. Hoy en día, representan bajo un décimo de un por ciento de detecciones.

A diferencia de AutoPlay, RDP sigue siendo una característica de uso regular de Windows y el hecho de que haya una disminución en el uso de un solo exploit contra él no significa que los ataques contra él en su conjunto estén disminuyendo. De hecho, los ataques contra sus vulnerabilidades han aumentado enormemente, lo que plantea otra posibilidad para la disminución de las detecciones de BlueKeep: otras vulnerabilidades de RDP podrían ser mucho más efectivas que los atacantes se hayan pasado a ellas.

Observar los datos de dos años desde principios de 2020 hasta finales de 2021 parece estar de acuerdo con esta evaluación. Durante ese período, la telemetría de ESET muestra un aumento masivo de intentos maliciosos de conexión RDP. ¿Qué tan grande fue el salto? En el primer trimestre de 2020, vimos 1.97 millones de intentos de conexión. Para el cuarto trimestre de 2021, eso había saltado a 166.37 mil millones de intentos de conexión, ¡un aumento de más del 8,400%!

Claramente, los atacantes están encontrando valor al conectarse a las computadoras de las organizaciones, ya sea para realizar espionaje, plantar ransomware o algún otro acto delictivo. Pero también es posible defenderse de estos ataques.

La segunda parte del documento revisado proporciona orientación actualizada sobre la defensa contra ataques a RDP. Si bien este consejo está más orientado a aquellos profesionales de TI que pueden no estar acostumbrados a fortalecer su red, contiene información que incluso puede ser útil para el personal más experimentado.

Nuevos datos sobre ataques SMB

Con el conjunto de datos sobre los ataques RDP vino una adición inesperada de telemetría de los intentos de ataques del bloque de mensajes del servidor (SMB). Dada esta ventaja adicional, no pude evitar mirar los datos y sentí que eran lo suficientemente completos e interesantes como para agregar al documento una nueva sección sobre ataques a SMB y defensas contra ellos.

SMB se puede considerar como un protocolo complementario de RDP, ya que permite acceder de forma remota a archivos, impresoras y otros recursos de red durante una sesión de RDP. 2017 vio el lanzamiento público de EternalBlue (CVE-2017-0144) explotación gusanos. El uso del exploit siguió creciendo a través de 2018, 2019, y en 2020, según la telemetría de ESET.

La vulnerabilidad explotada por EternalBlue está presente solo en SMBv1, una versión del protocolo que data de la década de 1990. Sin embargo, SMBv1 se implementó ampliamente en sistemas operativos y dispositivos en red durante décadas y no fue hasta 2017 que Microsoft comenzó a distribuir versiones de Windows con SMBv1 desactivado de forma predeterminada.

A fines de 2020 y hasta 2021, ESET vio una marcada disminución en los intentos de explotar la vulnerabilidad EternalBlue. Al igual que con BlueKeep, ESET atribuye esta reducción en las detecciones a las prácticas de aplicación de parches, protecciones mejoradas en el perímetro de la red y menor uso de SMBv1.

Reflexiones finales

Es importante tener en cuenta que esta información presentada en este documento revisado se obtuvo de la telemetría de ESET. Cada vez que se trabaja con datos de telemetría de amenazas, existen ciertas condiciones que se deben aplicar para interpretarlos:

1. Compartir la telemetría de amenazas con ESET es opcional; si un cliente no se conecta al sistema LiveGrid® de ESET ni comparte datos estadísticos anónimos con ESET, entonces no tendremos ningún dato sobre lo que encontró su instalación del software de ESET.
2. La detección de actividad maliciosa de RDP y SMB se realiza a través de varias capas de protección de ESET. tecnologías, incluyendo Protección contra botnets, Protección contra ataques de fuerza bruta, Protección contra ataques de red, Etcétera. No todos los programas de ESET cuentan con estas capas de protección. Por ejemplo, ESET NOD32 Antivirus brinda un nivel básico de protección contra malware para usuarios domésticos y no tiene estas capas protectoras. Están presentes en ESET Internet Security y ESET Smart Security Premium, así como en los programas de protección de puntos finales de ESET para usuarios empresariales.
3. Aunque no se utilizó en la preparación de este documento, los informes de amenazas de ESET brindan datos geográficos hasta el nivel de región o país. La detección de GeoIP es una mezcla de ciencia y arte, y factores como el uso de VPN y el rápido cambio de propiedad de los bloques IPv4 pueden tener un impacto en la precisión de la ubicación.
4. Asimismo, ESET es uno de los muchos defensores en este espacio. La telemetría nos dice qué instalaciones del software de ESET están impidiendo, pero ESET no tiene información sobre lo que encuentran los clientes de otros productos de seguridad.

Debido a estos factores, la cantidad absoluta de ataques será más alta de lo que podemos aprender de la telemetría de ESET. Dicho esto, creemos que nuestra telemetría es una representación precisa de la situación general; Es probable que el aumento y la disminución general en las detecciones de varios ataques, en términos porcentuales, así como las tendencias de ataque observadas por ESET, sean similares en toda la industria de la seguridad.

Un agradecimiento especial a mis colegas Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná y Peter Stančík por su ayuda en la revisión de este documento.

Aryeh Goretsky, ZCSE, rMVP
Investigador Distinguido, ESET