Brute Force protocollo RDP

Brute Force protocollo RDP. Come difendersi da questi attacchi?

Brute Force protocollo RDP, l’attacco più utilizzato dai pirati informatici per accedere a sistemi non protetti. Come dobbiamo configurare i nostri server per difenderci da un attacco Brute Force?

Facciamo un passo indietro. Di cosa stiamo parlando esattamente?

Microsoft  ha implementato un programma che consente la gestione e l’amministrazione delle postazioni di lavoro (PDL) e i server da remoto. Questo programma è Connessione al Desktop Remoto che usa il protocollo RDP (Remote Desktop Protocol) in ascolto sulla porta TCP/UDP 3389.

Il programma consente la completa gestione di un sistema Microsoft da remoto come se ci si trovasse davanti ad una tastiera e un monitor accessibile attraverso un sistema di autenticazione predefinito che utilizza il classico sistema basato su username e password, per questo motivo bisogna mettere in atto delle misure tecnico organizzative per evitare che qualsiasi utente possa accedere alla postazione indovinando le credenziali di accesso.

Brute Force protocollo RDP: come funziona?

Solitamente, l’attaccante esegue la scansione degli indirizzi IP per la porta RDP 3389 (porta RDP di default) che sono aperti alla connessione. Una volta che l’attaccante ha trovato una porta, lancia un attacco Brute Force sul protocollo RDP.

La tecnica di brute-force consiste essenzialmente nel tentare di indovinare una password attraverso ripetuti tentativi, usando soprattutto credenziali molto diffuse, parole del dizionario o altre combinazioni.

Vi sono moltissimi tool a disposizione su Internet che svolgono sia la funzione di scansione della Porta che il Brute Force protocollo RDP.  Una volta ottenuto l’accesso, il cyber-criminale disabilita il software antivirus e avvia il payload: cioè significa che, anche se l’antivirus fosse aggiornato e in grado di individuare e contrastare il malware, il suo spegnimento lascia il sistema privo di difese.

Nel momento in cui il malintenzionato riesce a prendere possesso della postazione può fare quello che vuole, cancellare il file, installare un virus per corrompere l’intero sistema, ma è più probabile che possa installare un virus in grado di registrare ogni comando ricevuto dall’utente in una modalità silenziosa e trasferire il tutto chissà dove.

Ad esempio l’utente usa la postazione per accedere al conto corrente aziendale ed eseguire i pagamenti verso i fornitori, il malintenzionato verrebbe a conoscenza di alcuni dettagli sensibili all’azienda.

Oppure si tratta di una postazione che si occupa della progettazione di nuovi servizi o prodotti, parliamo quindi di spionaggio industriale.

Si può voler vedere ad esempio il contenuto delle email ed è risultato più accedere alla postazione piuttosto che alla casella email

Gli scenari non sono mai positivi per chi subisce un attacco, non può sapere se l’attacco verrà sferrato per dispetto, per un ricatto o si tratta di un’azione mirata da parte dei suoi competitor.

Come proteggersi da un attacco Brute Force

Premesso che RDP è il peggior strumento immaginabile per svolgere il compito di fornire un accesso in remoto a un server, il primo passo sarebbe quello di proteggere la connessione con una VPN”

Come secondo aspetto da tener in considerazione è la generazione delle password. Dovrebbe infatti essere affidata a un sistema specializzato. Gli esseri umani non sono fatti per creare password. Tendiamo a utilizzare parole che per noi sono facili da indovinare, ma sono altrettanto facili da individuare per chi cerca di violare le credenziali di accesso”.

Meglio ancora sarebbe usare accorgimenti ulteriori, come l’uso di sistemi di autenticazione a due fattori o la generazione di token “usa e getta”. Tutti sistemi, questi, che però stentano ancora a prendere piede nonostante negli ultimi tempi le tecnologie per il loro utilizzo abbiano fatto passi da gigante.

Un buon sistema antivirus è in grado di capire e registrare eventuali attacchi di questo tipo, la loro frequenza elevata è un sintomo del tipo di attacco che l’antivirus riconosce subito e dovrebbe essere in grado quanto meno di avvisare l’utente, dico dovrebbe perché gli antivirus non sono tutti uguali.

Sicuramente nel Registro Eventi sezione Sicurezza, viene registrato ogni tentativo di accesso fallito e riuscito, quindi avere sotto monitoraggio il registro eventi con determinati software è di fondamentale importanza per verificare attacchi Brute Force protocollo RDP.

Si può cambiare la porta predefinita TCP/UDP 3389 in ascolto per il servizio di Connessione Desktop Remoto agendo direttamente sulla configurazione di sistema nota come Editor Registro di Sistema (RegEdit) ma non mette completamente al riparo da attacchi poiché basterebbe una scansione delle porte attive e in poche ore ci si ritrova sotto attacco.

Le modifiche al Registro richiedono la massima cautela e il riavvio della postazione e questo non è sempre possibile, immagino un server di produzione che non deve mai essere spento.

Si può utilizzare un Firewall hardware a monte della propria rete che registra il tipo di minaccia e blocca ogni tentativo di accesso, ma se l’attacco non è di tipo Brute Force il firewall si ritroverebbe costretto a far passare il tentativo di violazione convinto si tratti di un utente legittimo.

Brute Force protocollo RDP: altre pratiche di sicurezza

  1. Usa password sicure e diverse da tutte quelle che hai sugli altri account. Password prevedibili come Admin, [email protected], user, 123456, password ecc.. possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi. Puoi forzare l’utilizzo di password complesse e il cambio ogni 30/60/90 giorni mediante Active Directory.
  2. Configura una protezione tramite password per i tuoi software di sicurezza. Questo ti consentirà di impedire l’accesso al sistema da parte di utenti non autorizzati intenzionati a disinstallare o disabilitare l’antivirus.
  3. Disabilita l’account Amministratore e usa un nome account differente per le attività amministrative. La maggior parte dei tentativi di brute-force sono compiuti su un account Amministratore visto che spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato o utente ospite, nel caso siano presenti nel sistema.
  4. Attiva l’ Autenticazione a livello di rete nelle tue impostazioni RDP, disponibile dal SO Windows Vista e successivi.
    Rif: https://technet.microsoft.com/en-us/library/cc732713.aspx
  5. Configura l’ “Account Lockout Policies” che chiude automaticamente l’account dopo un numero specificato di tentativi falliti. Questa caratteristica è disponibile in Windows
    Rif: https://technet.microsoft.com/en-us/library/dd277400.aspx

Brute Force protocollo RDP su Server Cloud

Le soluzioni viste consentono una adeguata protezione per le postazioni che si trovano all’interno dell’impresa e quindi fisicamente gestibili.

Se pensiamo ad ambienti Cloud, praticamente gli attacchi di Brute Force  protocollo RDP sono all’ordine del giorno e capiamo subito che le protezioni fin qui adottate non possono essere implementate-.

Un’impresa che si affida al Cloud per la creazione di un Server ha sicuramente come primo obiettivo il risparmio delle licenze software che dovrebbe affrontare avendoli in sede.

Il problema di queste soluzioni vantaggiose è che lasciano “scoperte” le postazioni che a volte sono sensibili per le imprese, quindi come possono proteggersi da questo tipo di attacco?

Un sistema efficace di protezione consiste nel configurare il Firewall nativo del Server Microsoft andando a creare una Regola del Traffico in Entrata che controlli chi vuole accedere usando il protocollo RDP e autorizzare l’accesso solo da un determinato indirizzo IP fisso.

Visto che ogni impresa ha un servizio di connessione ad internet professionale gli viene fornito anche un indirizzo IP pubblico.

Associando l’indirizzo IP pubblico dell’impresa alla regola del Server che si trova sul Cloud consente solo a quella rete di poter accedere al Server remoto e quindi limitare notevolmente ogni tentativo di attacco, consente inoltre di mantenere la porta predefinita 3389 e di non riavviare il server.

Tutti i servizi associati al server non subiranno alcuna limitazione, specialmente se è un server usato per l’erogazione dei servizi internet o di altra natura che usa altre porte di comunicazione.

Conclusione

Abbiamo visto come proteggersi da attacchi Brute Force protocollo RDP. Non sempre esiste una soluzione efficace al tipo di attacco subito, e non sempre gli attacchi sono dei virus. In questo caso il tipo di attacco tenta di prendere il controllo della postazione per poi farne quello che vuole.

Leggi anche:

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003