Avui dia, amb l’exagerada xifra d’atacs provinents d’Internet, encara hi ha empreses que tenen un servidor d’escriptori remot obert a connexions de qualsevol punt d’internet, perquè els seus treballadors es connectin a aquest, sense majors mesures de protecció que un simple nom d’usuari i contrasenya.
Per què és una mala idea?
- Per a començar, perquè només apliquem una mesura de seguretat en un entorn altament hostil. D’acord amb una recerca de Sophos, en menys de minut i mig després de posar en marxa un servidor RDP es poden començar a rebre intents d’inici de sessió maliciosos.
- Les recents vulnerabilitats descobertes en aquests serveis, si no són aplicades actualitzacions de seguretat, permetrien que un atacant pugui executar codi maliciós en un servidor sense tenir l’usuari i contrasenya.
- Els atacs de “força bruta” es succeeixen constantment: Intenten esbrinar l’usuari, provant amb noms d’usuari típics (administrator, admin, ssm-*user, user, etc…) i la contrasenya provant milers de combinacions. D’acord amb la recerca ja citada de Sophos, solament durant un període de 30 dies i en 10 dispositius, es van registrar 4,3 milions d’intents d’inici de sessió.
- Filtrat d’informació a la pantalla d’inici de sessió: A vegades les pantalles d’inici de sessió ja ens mostren noms d’usuari i fins i tot fotos d’aquest que poden donar peu a atacs d’enginyeria social o uns altres.
Què puc fer?
La resposta és clara: No tenir el servidor d’escriptori remot obert a qualsevol connexió procedent d’Internet ja que suposa un risc massa alt en ciberseguretat. En cas de no ser necessari es pot deshabilitar i si és estrictament necessari, han de prendre’s totes les mesures de seguretat possibles per a evitar incidents.
Què podria passar?
Perquè ens fem una idea tangible del que ens podria suposar: Ens anem al acabar la jornada laboral el divendres, i en arribar el dilluns no es pot treballar amb res. Els servidors han estat encriptats amb un ransomware, els arxius amb informació vital s’han perdut, i segons es van encenent els ordinadors dels empleats, es van infectant.
Quines mesures de seguretat puc considerar?
- Realitzar connexions segures i encriptades mitjançant VPN.
- Habilitar l’autenticació a nivell de xarxa (NLA).
- Utilitzar noms d’usuari que no siguin comuns i contrasenyes llargues i complexes.
- Acceptar només connexions procedents d’adreces IP autoritzades.
- Aplicar una política de seguretat que bloquegi un compte d’usuari un temps determinat després d’un nombre determinat d’intents d’inici de sessió fallits.
- Assegurar-se que s’instal·len actualitzacions de seguretat per a la vulnerabilitat CVE-2019-0708.
- Utilitzar un altre port per a les connexions RDP i bloquejar el port TCP 3389 al firewall de la xarxa perimetral.
- Instal·lar les últimes actualitzacions de seguretat disponibles.
- Disposar d’un sistema de gestió d’actualitzacions automàtiques centralitzat com WSUS.
- Utilitzar sistemes operatius actualitzats (Windows 7 i Windows Server 2008 R2 deixessin de tenir suport el 14 de gener de 2020).
- Tenir un bon antivirus de pagament actualitzat en servidors i equips
- Utilitzar sistemes amb doble factor d’autenticació.
- Monitorar els sistemes regularment.
Tens escriptoris remots desprotegits? Vols assessorament professional?
Des de nearCrumbs t’aconsellem que contactis amb especialistes en sistemes i ciberseguretat per a rebre assessorament sobre com protegir-te i quines mesures són més convenients per a tu. Si necessites ajuda, no dubtis a contactar amb nosaltres