RDP sul radar: una visione ravvicinata dell'evoluzione delle minacce di accesso remoto

Mentre la pandemia di COVID-19 si diffondeva in tutto il mondo, molti di noi, me compreso, si sono rivolti al lavoro a tempo pieno da casa. Molti dei dipendenti di ESET erano già abituati a lavorare in remoto per una parte del tempo e si trattava in gran parte di aumentare le risorse esistenti per gestire l'afflusso di nuovi lavoratori da remoto, come l'acquisto di qualche laptop in più e licenze VPN.

Lo stesso, tuttavia, non si può dire per molte organizzazioni in tutto il mondo, che hanno dovuto configurare l'accesso per la propria forza lavoro remota da zero o almeno aumentare in modo significativo i propri server Remote Desktop Protocol (RDP) per rendere l'accesso remoto utilizzabile per molti utenti simultanei.

Per aiutare quei dipartimenti IT, in particolare quelli per i quali una forza lavoro remota era qualcosa di nuovo, ho collaborato con il nostro dipartimento dei contenuti per creare un documento in cui discuteva i tipi di attacchi che ESET stava rilevando mirati specificamente a RDP e alcuni passaggi di base per proteggerli . Quella carta può essere trovata qui sul blog aziendale di ESET, nel caso foste curiosi.

Più o meno nello stesso periodo in cui si verificava questo cambiamento, ESET ha reintrodotto il nostro globale segnalazioni di minaccee una delle cose che abbiamo notato è che gli attacchi RDP hanno continuato a crescere. Secondo il ns rapporto sulla minaccia per i primi quattro mesi del 2022, oltre 100 miliardo sono stati tentati attacchi di questo tipo, oltre la metà dei quali sono stati fatti risalire a blocchi di indirizzi IP russi.

Chiaramente, era necessario dare un'altra occhiata agli exploit RDP che sono stati sviluppati e agli attacchi che hanno reso possibili negli ultimi due anni per segnalare ciò che ESET stava vedendo attraverso la sua intelligence sulle minacce e la telemetria. Quindi, abbiamo fatto proprio questo: una nuova versione del nostro articolo 2020, ora intitolato Remote Desktop Protocol: configurazione dell'accesso remoto per una forza lavoro sicura, è stato pubblicato per condividere tali informazioni.

Cosa sta succedendo con RDP?

Nella prima parte di questo documento rivisto, esaminiamo come si sono evoluti gli attacchi negli ultimi due anni. Una cosa che vorrei condividere è che non tutti gli attacchi sono in aumento. Per un tipo di vulnerabilità, ESET ha registrato una marcata diminuzione dei tentativi di sfruttamento:

• Rilevazioni del BlueKeep (CVE-2019-0708) l'exploit wormable in Servizi Desktop remoto è diminuito del 44% rispetto al picco del 2020. Attribuiamo questa diminuzione a una combinazione di pratiche di applicazione delle patch per le versioni interessate di Windows più la protezione dagli exploit nel perimetro della rete.

Una delle lamentele più frequenti sulle società di sicurezza informatica è che passano troppo tempo a parlare di come la sicurezza stia sempre peggiorando e non migliorando, e che qualsiasi buona notizia sia rara e transitoria. Alcune di queste critiche sono valide, ma la sicurezza è sempre un processo in corso: nuove minacce emergono sempre. In questo caso, vedere diminuire nel tempo i tentativi di sfruttare una vulnerabilità come BlueKeep sembra una buona notizia. RDP rimane ampiamente utilizzato e ciò significa che gli aggressori continueranno a condurre ricerche sulle vulnerabilità che possono sfruttare.

Affinché una classe di exploit scompaia, tutto ciò che è vulnerabile a loro deve smettere di essere utilizzato. L'ultima volta che ricordo di aver visto un cambiamento così diffuso è stato quando Microsoft ha rilasciato Windows 7 nel 2009. Windows 7 è stato fornito con il supporto per AutoRun (AUTORUN.INF) disabilitato. Microsoft ha quindi eseguito il backport di questa modifica su tutte le versioni precedenti di Windows, anche se non perfettamente la prima volta. Una funzionalità da quando Windows 95 è stato rilasciato nel 1995, AutoRun è stato pesantemente abusato per propagare worm come Conficker. A un certo punto, i worm basati su AUTORUN.INF rappresentavano quasi un quarto delle minacce incontrate dal software ESET. Oggi rappresentano sotto a decimo di percento di rilevamenti.

A differenza di AutoPlay, RDP rimane una funzionalità utilizzata regolarmente di Windows e solo perché c'è una diminuzione nell'uso di un singolo exploit contro di esso, ciò non significa che gli attacchi contro di esso nel suo insieme siano in diminuzione. In effetti, gli attacchi contro le sue vulnerabilità sono aumentati in modo massiccio, il che fa emergere un'altra possibilità per la diminuzione dei rilevamenti BlueKeep: altri exploit RDP potrebbero essere così tanto più efficaci che gli aggressori sono passati ad essi.

Osservare i dati di due anni dall'inizio del 2020 alla fine del 2021 sembrerebbe essere d'accordo con questa valutazione. Durante tale periodo, la telemetria ESET mostra un massiccio aumento dei tentativi di connessione RDP dannosi. Quanto era grande il salto? Nel primo trimestre del 2020 abbiamo registrato 1.97 miliardi di tentativi di connessione. Entro il quarto trimestre del 2021, era balzato a 166.37 miliardi di tentativi di connessione, con un aumento di oltre l'8,400%!

Chiaramente, gli aggressori stanno trovando vantaggio nella connessione ai computer delle organizzazioni, sia per condurre spionaggio, piantare ransomware o qualche altro atto criminale. Ma è anche possibile difendersi da questi attacchi.

La seconda parte del documento rivisto fornisce una guida aggiornata sulla difesa dagli attacchi al PSR. Sebbene questo consiglio sia più rivolto a quei professionisti IT che potrebbero non essere abituati a rafforzare la propria rete, contiene informazioni che potrebbero anche essere utili al personale più esperto.

Nuovi dati sugli attacchi delle PMI

Con il set di dati sugli attacchi RDP è arrivata un'aggiunta inaspettata di dati di telemetria dai tentativi di attacchi Server Message Block (SMB). Dato questo bonus aggiuntivo, non ho potuto fare a meno di guardare i dati e ho ritenuto che fosse abbastanza completo e interessante da poter aggiungere al documento una nuova sezione sugli attacchi delle PMI e sulle difese contro di essi.

SMB può essere considerato un protocollo complementare a RDP, in quanto consente l'accesso remoto a file, stampanti e altre risorse di rete durante una sessione RDP. Il 2017 ha visto l'uscita pubblica di EternalBlue (CVE-2017-0144) exploit wormable. L'uso dell'exploit ha continuato a crescere 2018, 2019, e dentro 2020, secondo la telemetria ESET.

La vulnerabilità sfruttata da EternalBlue è presente solo in SMBv1, una versione del protocollo risalente agli anni '1990. Tuttavia, SMBv1 è stato ampiamente implementato nei sistemi operativi e nei dispositivi di rete per decenni e solo nel 2017 Microsoft ha iniziato a distribuire versioni di Windows con SMBv1 disabilitato per impostazione predefinita.

Alla fine del 2020 e fino al 2021, ESET ha registrato un netto calo dei tentativi di sfruttare la vulnerabilità di EternalBlue. Come con BlueKeep, ESET attribuisce questa riduzione dei rilevamenti alle pratiche di applicazione delle patch, al miglioramento delle protezioni sul perimetro della rete e all'utilizzo ridotto di SMBv1.

Conclusioni

È importante notare che queste informazioni presentate in questo documento rivisto sono state raccolte dalla telemetria di ESET. Ogni volta che si lavora con i dati di telemetria delle minacce, ci sono alcune condizioni che devono essere applicate per interpretarli:

1. La condivisione della telemetria delle minacce con ESET è facoltativa; se un cliente non si connette al sistema LiveGrid® di ESET o condivide dati statistici anonimi con ESET, non avremo alcun dato su ciò che ha riscontrato la sua installazione del software ESET.
2. Il rilevamento di attività dannose di RDP e SMB avviene attraverso diversi livelli di protezione di ESET tecnologie, Compreso Protezione botnet, Protezione dagli attacchi di forza bruta, Protezione dagli attacchi di rete, e così via. Non tutti i programmi di ESET dispongono di questi livelli di protezione. Ad esempio, ESET NOD32 Antivirus fornisce un livello base di protezione contro il malware per gli utenti domestici e non dispone di questi livelli di protezione. Sono presenti in ESET Internet Security e ESET Smart Security Premium, nonché nei programmi di protezione degli endpoint di ESET per gli utenti aziendali.
3. Sebbene non sia stato utilizzato nella preparazione di questo documento, i report sulle minacce ESET forniscono dati geografici fino alla regione o al livello nazionale. Il rilevamento GeoIP è un misto di scienza e arte e fattori come l'uso di VPN e la proprietà in rapida evoluzione dei blocchi IPv4 possono avere un impatto sull'accuratezza della posizione.
4. Allo stesso modo, ESET è uno dei tanti difensori in questo spazio. La telemetria ci dice quali installazioni del software ESET stanno impedendo, ma ESET non ha informazioni su ciò che i clienti di altri prodotti di sicurezza stanno incontrando.

A causa di questi fattori, il numero assoluto di attacchi sarà superiore a quanto possiamo apprendere dalla telemetria di ESET. Ciò detto, riteniamo che la nostra telemetria sia una rappresentazione accurata della situazione complessiva; è probabile che l'aumento e la diminuzione complessivi dei rilevamenti di vari attacchi, in percentuale, nonché le tendenze degli attacchi rilevate da ESET, siano simili in tutto il settore della sicurezza.

Un ringraziamento speciale ai miei colleghi Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná e Peter Stančík per la loro assistenza nella revisione di questo documento.

Aryeh Goretsky, ZCSE, rMVP
Illustre ricercatore, ESET