Os serviços de acesso remoto mal configurados continuam a fornecer aos malfeitores um caminho de acesso fácil às redes da empresa – veja como você pode minimizar sua exposição a ataques usando o Remote Desktop Protocol
À medida que a pandemia do COVID-19 se espalhava pelo mundo, muitos de nós, inclusive eu, passamos a trabalhar em período integral em casa. Muitos dos funcionários da ESET já estavam acostumados a trabalhar remotamente parte do tempo, e era em grande parte uma questão de aumentar os recursos existentes para lidar com o fluxo de novos trabalhadores remotos, como comprar mais alguns laptops e licenças VPN.
O mesmo, porém, não pode ser dito para muitas organizações ao redor do mundo, que tiveram que configurar o acesso para sua força de trabalho remota do zero ou pelo menos aumentar significativamente seus servidores Remote Desktop Protocol (RDP) para tornar o acesso remoto utilizável para muitos Usuários concorrentes.
Para ajudar esses departamentos de TI, principalmente aqueles para quem uma força de trabalho remota era algo novo, trabalhei com nosso departamento de conteúdo para criar um documento discutindo os tipos de ataques que a ESET estava vendo que visavam especificamente o RDP e algumas etapas básicas para protegê-los . Esse papel pode ser encontrado aqui no blog corporativo da ESET, caso você esteja curioso.
Mais ou menos na mesma época em que essa mudança estava ocorrendo, a ESET reintroduziu nossa relatórios de ameaças, e uma das coisas que notamos foi que os ataques RDP continuaram a crescer. De acordo com o nosso relatório de ameaças para os primeiros quatro meses de 2022, mais de 100 bilhão tais ataques foram tentados, mais da metade dos quais foram rastreados até blocos de endereços IP russos.
Claramente, havia a necessidade de dar uma outra olhada nas explorações RDP que foram desenvolvidas, e os ataques que tornaram possíveis, nos últimos dois anos para relatar o que a ESET estava vendo através de sua inteligência de ameaças e telemetria. Então, fizemos exatamente isso: uma nova versão do nosso artigo de 2020, agora intitulado Remote Desktop Protocol: Configurando o acesso remoto para uma força de trabalho segura, foi publicado para compartilhar essas informações.
O que está acontecendo com o RDP?
Na primeira parte deste artigo revisado, veremos como os ataques evoluíram nos últimos dois anos. Uma coisa que gostaria de compartilhar é que nem todos os ataques aumentaram. Para um tipo de vulnerabilidade, a ESET viu uma diminuição acentuada nas tentativas de exploração:
- Detecções do BlueKeep (CVE-2019-0708) wormable nos Serviços de Área de Trabalho Remota diminuíram 44% em relação ao pico em 2020. Atribuímos essa diminuição a uma combinação de práticas de correção para versões afetadas do Windows mais proteção contra exploração no perímetro da rede.
Uma das queixas mais ouvidas sobre as empresas de segurança de computadores é que elas gastam muito tempo falando sobre como a segurança está sempre piorando e não melhorando, e que qualquer boa notícia é infrequente e transitória. Algumas dessas críticas são válidas, mas a segurança é sempre um processo contínuo: novas ameaças estão sempre surgindo. Nesse caso, ver as tentativas de explorar uma vulnerabilidade como o BlueKeep diminuir com o tempo parece uma boa notícia. O RDP continua sendo amplamente usado, e isso significa que os invasores continuarão realizando pesquisas sobre vulnerabilidades que podem explorar.
Para que uma classe de exploits desapareça, o que for vulnerável a eles tem que parar de ser usado. A última vez que me lembro de ter visto uma mudança tão ampla foi quando a Microsoft lançou o Windows 7 em 2009. O Windows 7 veio com suporte para AutoRun (AUTORUN.INF) desabilitado. A Microsoft então retroportou essa alteração para todas as versões anteriores do Windows, embora não perfeitamente Pela primeira vez. Um recurso desde que o Windows 95 foi lançado em 1995, o AutoRun foi fortemente abusado para propagar worms como Conficker. A certa altura, os worms baseados em AUTORUN.INF foram responsáveis por quase um quarto das ameaças encontradas pelo software da ESET. Hoje, representam menos de décimo por cento de detecções.
Ao contrário do AutoPlay, o RDP continua sendo um recurso usado regularmente do Windows e só porque há uma diminuição no uso de um único exploit contra ele, isso não significa que os ataques contra ele como um todo estejam diminuindo. De fato, os ataques contra suas vulnerabilidades aumentaram massivamente, o que traz outra possibilidade para a diminuição das detecções do BlueKeep: outras explorações de RDP podem ser muito mais eficazes que os invasores passaram para elas.
Analisar dados de dois anos desde o início de 2020 até o final de 2021 parece concordar com essa avaliação. Durante esse período, a telemetria da ESET mostra um grande aumento nas tentativas maliciosas de conexão RDP. Quão grande foi o salto? No primeiro trimestre de 2020, vimos 1.97 bilhão de tentativas de conexão. No quarto trimestre de 2021, esse número saltou para 166.37 bilhões de tentativas de conexão, um aumento de mais de 8,400%!
Figura 2. Tentativas maliciosas de conexão RDP detectadas em todo o mundo (fonte: telemetria ESET). Os números absolutos são arredondados
Claramente, os invasores estão encontrando valor na conexão com os computadores das organizações, seja para realizar espionagem, plantar ransomware ou algum outro ato criminoso. Mas também é possível se defender contra esses ataques.
A segunda parte do documento revisado fornece orientações atualizadas sobre a defesa contra ataques ao RDP. Embora este conselho seja mais voltado para os profissionais de TI que podem não estar acostumados a fortalecer sua rede, ele contém informações que podem até ser úteis para funcionários mais experientes.
Novos dados sobre ataques SMB
Com o conjunto de dados sobre ataques RDP veio uma adição inesperada de telemetria de tentativas de ataques SMB (Server Message Block). Dado esse bônus adicional, não pude deixar de examinar os dados e senti que estavam completos e interessantes o suficiente para que uma nova seção sobre ataques de SMB e defesas contra eles pudesse ser adicionada ao artigo.
O SMB pode ser considerado um protocolo complementar ao RDP, pois permite que arquivos, impressoras e outros recursos de rede sejam acessados remotamente durante uma sessão RDP. 2017 viu o lançamento público do EternalBlue (CVE-2017-0144) exploração wormable. O uso do exploit continuou a crescer 2018, 2019, e em 2020, de acordo com a telemetria ESET.
Figura 3. Detecções CVE -2017-0144 “EternalBlue” em todo o mundo (Fonte: telemetria ESET)
A vulnerabilidade explorada pelo EternalBlue está presente apenas no SMBv1, uma versão do protocolo que remonta à década de 1990. No entanto, o SMBv1 foi amplamente implementado em sistemas operacionais e dispositivos de rede por décadas e não foi até 2017 que a Microsoft começou a enviar versões do Windows com o SMBv1 desabilitado por padrão.
No final de 2020 e até 2021, a ESET viu uma diminuição acentuada nas tentativas de explorar a vulnerabilidade EternalBlue. Assim como no BlueKeep, a ESET atribui essa redução nas detecções às práticas de patching, proteções aprimoradas no perímetro da rede e menor uso do SMBv1.
Considerações finais
É importante notar que esta informação apresentada neste artigo revisado foi coletada da telemetria da ESET. Sempre que se trabalha com dados de telemetria de ameaças, há certas ressalvas que devem ser aplicadas para interpretá-los:
- O compartilhamento de telemetria de ameaças com a ESET é opcional; se um cliente não se conectar ao sistema LiveGrid® da ESET ou compartilhar dados estatísticos anônimos com a ESET, não teremos nenhum dado sobre o que a instalação do software da ESET encontrou.
- A detecção de atividade maliciosa de RDP e SMB é feita através de várias camadas de proteção da ESET tecnologias, incluindo Proteção de botnet, Proteção contra ataques de força bruta, Proteção contra ataques de rede, e assim por diante. Nem todos os programas da ESET têm essas camadas de proteção. Por exemplo, o ESET NOD32 Antivirus fornece um nível básico de proteção contra malware para usuários domésticos e não possui essas camadas de proteção. Eles estão presentes no ESET Internet Security e no ESET Smart Security Premium, bem como nos programas de proteção de terminais da ESET para usuários corporativos.
- Embora não tenha sido usado na preparação deste documento, os relatórios de ameaças da ESET fornecem dados geográficos até o nível de região ou país. A detecção GeoIP é uma mistura de ciência e arte, e fatores como o uso de VPNs e a propriedade de blocos IPv4 em rápida mudança podem ter um impacto na precisão da localização.
- Da mesma forma, a ESET é um dos muitos defensores neste espaço. A telemetria nos diz quais instalações do software da ESET estão impedindo, mas a ESET não tem informações sobre o que os clientes de outros produtos de segurança estão encontrando.
Por causa desses fatores, o número absoluto de ataques será maior do que podemos aprender com a telemetria da ESET. Dito isso, acreditamos que nossa telemetria é uma representação precisa da situação geral; o aumento e a diminuição geral nas detecções de vários ataques, em termos percentuais, bem como as tendências de ataque observadas pela ESET, provavelmente serão semelhantes em todo o setor de segurança.
Agradecimentos especiais aos meus colegas Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná e Peter Stančík por sua assistência na revisão deste artigo.
Aryeh Goretsky, ZCSE, rMVP
Pesquisador ilustre, ESET
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- Pesquisa ESET
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- Nós Vivemos Segurança
- a segurança do website
- zefirnet
