¿Cómo prevenir los ataques RDP (Protocolo de escritorio remoto)?

El RDP se basa en los estándares de la familia de protocolos T-120 y cobró importancia cuando Microsoft permitió a los usuarios conectarse y controlar de forma remota otros equipos a través de redes. Protege las comunicaciones de red y permite a los usuarios manejar equipos de escritorio a distancia.

Sin embargo, el RDP no está exento de riesgos. Puede ser explotado para obtener acceso no autorizado a los dispositivos. Desde su debut, se han lanzado 16 versiones importantes de Windows, lo que significa que los actores maliciosos han tenido muchas oportunidades de secuestrarlo y obtener acceso remoto a servidores y dispositivos Windows. Esta guía le explicará cómo prevenir los ataques RDP y mantenerse protegido.

¿Qué es un ataque RDP (Protocolo de escritorio remoto)?

RDP es un protocolo de conexión de comunicaciones desarrollado por Microsoft que permite a los usuarios controlar dispositivos de escritorio de forma remota (o cualquier dispositivo con sistema operativo Microsoft). Las conexiones de escritorio remoto utilizan el puerto TCP (Protocolo de control de transmisión) 3389, que es el centro principal de las conexiones remotas. Cuando los actores maliciosos comprometen sus canales cifrados y toman el control, es lo que llamamos un ataque de protocolo de escritorio remoto.

A continuación se ofrece un breve resumen de cómo funcionan los ataques RDP:

• Los atacantes comenzarán primero por escanear su puerto RDP. Si hay algún dispositivo activo conectado a él, este servirá como punto de entrada a su red. El agente malicioso puede forzar la entrada a la red a través de este puerto y aprovechar el gran volumen de conexiones RDP.
• Una vez que han logrado el compromiso inicial, el atacante escaneará redes completas con subredes y aumentará su penetración. Podría utilizar las conexiones de Windows Management Instrumentation™ para múltiples puntos finales en entornos informáticos distribuidos o llamadas a procedimientos remotos y desencadenar una variedad de ataques.
• Cuando un dispositivo se ve comprometido, el atacante toma el control. Utilizando la interfaz de comando y control, enviará comandos a otros puntos finales y redes de la infraestructura. Puede utilizar la máquina comprometida para crear nuevas conexiones RDP a puertos no estándar.
• Cuando un atacante llega a esta etapa, puede moverse lateralmente por las redes y penetrar más profundamente en su empresa. Puede obtener acceso a mayores privilegios, recuperar datos confidenciales y tomar el control de recursos de gran valor. Cuando llegan a este punto, también pueden evadir la detección de la última pila de seguridad de la organización.

¿Cómo explotan los ciberdelincuentes el RDP?

Los ataques RDP se dirigen específicamente a plantillas distribuidas y contratistas externos. Secuestrar recursos informáticos intensivos tiene un gran valor, y el RDP puede proporcionar una mejor visibilidad del acceso a los servidores y sesiones de Windows.

El RDP tradicional no incluía las medidas de seguridad y privacidad que conocemos hoy en día. Para la autenticación del usuario solo se necesitaba una combinación de nombre de usuario y contraseña. El RDP carecía de autenticación multifactorial integrada de forma predeterminada.

¿Cómo detectar un acceso RDP no autorizado?

Estos son los pasos que puede seguir para detectar un acceso RDP no autorizado:

• Revise sus registros RDP en busca de signos de comportamientos extraños o actividades maliciosas. Busque intentos de inicio de sesión fallidos, inicios de sesión frecuentes e inicios de sesión desde direcciones IP no reconocibles. Estos intentos indican que el hacker ha intentado acceder al sistema.
• Puede examinar y analizar el tráfico de red utilizando herramientas de supervisión de red como SentinelOne. Intente buscar anomalías en la red, patrones de tráfico extraños y compruebe si se está enviando o recibiendo una gran cantidad de datos desde direcciones IP específicas.
• El puerto 3389 mostrará picos de actividad si algo va mal. Registre y supervise el tráfico de su red, escanéelo para identificar intentos de acceso no deseados.

Prácticas recomendadas para prevenir ataques RDP (más de 10)

A continuación se indican algunas prácticas que debe seguir. Una vez que las implemente, comprenderá cómo prevenir los ataques RDP:

• Cree contraseñas muy seguras mezclando caracteres especiales, números, letras y símbolos. Recomendamos que tengan una longitud mínima de 15 caracteres. También es conveniente mezclar las contraseñas y no reutilizar la misma contraseña para todas las cuentas. Utilice un almacén de contraseñas si le cuesta recordar y llevar un registro de todas sus contraseñas.
• Aplique las actualizaciones de Microsoft automáticamente a todas las versiones de su software cliente y servidor. Asegúrese de que la configuración esté activada y de que las actualizaciones se instalen en segundo plano sin solicitudes manuales. También debe dar prioridad a la corrección de vulnerabilidades RDP con exploits públicos conocidos.
• Implemente la autenticación multifactorial y utilice las últimas políticas de vigilancia de cuentas para luchar contra los ataques de fuerza bruta. También debe cambiar el puerto RDP predeterminado de 3389 a otro para mayor seguridad.
• Utilice una lista de conexiones permitidas y limítelas a hosts específicos de confianza. Sugerimos restringir el acceso al puerto de escritorio remoto solo a direcciones IP seleccionadas y verificadas. Si modifica la configuración del servidor, este impedirá aceptar cualquier intento de conexión desde direcciones IP que no estén incluidas en la lista de permitidos. Bloqueará automáticamente los intentos y procesos maliciosos.
• Cree una arquitectura de seguridad de red de confianza cero (ZTNA) y aplique el principio de acceso con privilegios mínimos en todas las cuentas. Es fundamental realizar comprobaciones periódicas y asegurarse de que todos los puertos RDP se mantengan seguros.
• Restrinja el acceso a las conexiones RDP mediante la instalación de cortafuegos. También debe añadir el conjunto de direcciones de la red privada virtual de la empresa a las reglas de excepción del cortafuegos RDP. Habilite la autenticación a nivel de red antes de establecer nuevas conexiones RDP.
• Configure los servidores de escritorio remoto para que acepten conexiones sin NLA si utiliza clientes de escritorio remoto en plataformas que no son compatibles. Compruebe la configuración de la política de grupo y haga que la autenticación de usuario sea obligatoria para todas las conexiones remotas.
• También puede configurar políticas de bloqueo de cuentas. Esto evitará que los piratas informáticos obtengan acceso no autorizado mediante herramientas automáticas de adivinación de contraseñas tras un número determinado de intentos fallidos. Puede configurar hasta tres intentos no válidos con duraciones de bloqueo de tres minutos cada uno.
• Utilice soluciones avanzadas de detección de amenazas mediante IA y antimalware. Configure procesos de análisis en segundo plano y supervisión de la seguridad de los puntos finales para que sus dispositivos, redes y usuarios estén constantemente supervisados. Esto ayudará a prevenir ataques internos y de TI en la sombra, y añade una capa adicional de protección.
• Forme a sus empleados sobre cómo reconocer las conexiones RDP fallidas y los intentos de acceso. Anímeles a informar de sus hallazgos de forma anónima, si es necesario, y fomente una cultura de transparencia en el lugar de trabajo. Si sus empleados se vuelven activos y se involucran, todo el equipo estará en sintonía. Todos sus departamentos deben saber cómo prevenir los ataques RDP y conocer los pasos que siguen los atacantes para escalar controles y privilegios. La seguridad comienza por proteger a los usuarios que utilizan estas tecnologías antes de utilizar herramientas de automatización y flujos de trabajo para la defensa.

¿Cómo responder a un ataque RDP?

Utilice SentinelOne Singularity XDR Platform para automatizar la investigación de incidentes y aplicar las mejores prácticas del manual de RDP. Puede ayudar a su equipo SOC a acelerar su respuesta. Estos son los pasos que debe seguir si sufre una infección RDP:

• Bloquee la dirección IP del usuario comprometido y del atacante en cuanto lo descubra. Esto contendrá y ayudará a poner en cuarentena la amenaza. Inicie una investigación ASN y examine las actividades de los usuarios. Utilice el módulo XSOAR de SentinelOne para detectar campañas relacionadas con RDP.
• Singularity Threat Intelligence y Purple AI pueden proporcionarle información más detallada sobre la dirección IP de los atacantes. Aísle los endpoints comprometidos y recopile actividades según las diferentes etapas de MITRE. SentinelOne le guiará a lo largo de todo el proceso, desde el enriquecimiento hasta la investigación y la respuesta. Puede cerrar el incidente, actualizar y sincronizar con XDR. Podrá ver toda la información sobre los ecosistemas de gestión de usuarios internos y externos desde el panel de control y la consola unificados.
• Si desea realizar una investigación en profundidad, puede considerar la posibilidad de probar los servicios de búsqueda de amenazas de SentinelOne. Le revelarán otros IoC (Indicadores de compromiso) relacionados con las direcciones IP o las campañas de los atacantes. IP o campañas.
• Siga utilizando la plataforma de SentinelOne para defenderse de los ataques de fuerza bruta RDP y proteger los activos críticos de su organización. Implemente las mejores medidas de ciberseguridad y fortalezca sus defensas en la nube contra las amenazas emergentes.

Ejemplos reales de ciberataques basados en RDP

El puerto predeterminado 3389 de RDP se puede utilizar para lanzar ataques en ruta. BlueKeep fue una de las vulnerabilidades más graves de RDP y se etiquetó oficialmente como CVE-2019-0708. Se trataba de una ejecución de código remoto (RCE) sin autenticación y que se ajustaba a un formato específico. Era viable y acabó propagándose a otros equipos de la red. Los usuarios no podían hacer nada y los atacantes comprometieron los sistemas obteniendo acceso no autorizado y moviéndose lateralmente dentro de la red durante todo el proceso. Escalaron privilegios e instalaron malware, llegando incluso a desplegar ransomware.

Los atacantes pueden identificar rápidamente los puertos RDP mal configurados y lanzar ataques utilizando rastreadores web como Shodan. Pueden iniciar ataques de fuerza bruta y obtener acceso no autorizado automáticamente, e incluso iniciar ataques de tipo "man-in-the-middle" (MitM). Módulos de malware como Sodinokibi, GandCrab y Ryuk también pueden participar en ataques RDP, como fue el caso del ataque de ransomware RobinHood que sufrió la ciudad de Baltimore.

Mitigar los ataques RDP con SentinelOne

SentinelOne puede bloquear las conexiones del Protocolo de Escritorio Remoto, incluidos los ataques sospechosos de escritorio remoto P2P. Puede utilizar sus capacidades de seguridad de endpoints para proteger el acceso remoto para el shell remoto completo. Puede implementar el agente de SentinelOne y supervisar todas las aplicaciones y archivos, incluidos los procesos y conexiones relacionados con RDP.

SentinelOne puede implementar automáticamente el acceso remoto a todos los dispositivos, incluidos los relacionados con RDP.

También puede utilizar SentinelOne para realizar acciones, como poner en cuarentena archivos y revertir cambios no autorizados. Puede detectar y bloquear ataques P2P RDP que utilizan herramientas comerciales disponibles en el mercado, como TeamViewer o VMC, para el control remoto.

También puede detectar y proteger contra las últimas vulnerabilidades, como la vulnerabilidad BlueKey, conocida por atacar y explotar conexiones RDP. SentinelOne proporciona medidas de seguridad adicionales, como la implementación de controles de acceso basados en políticas. Utiliza contraseñas dedicadas para cifrar cada sesión y también implementa la autenticación multifactorial.

Puede aplicar la autenticación de dos factores antes de permitir el acceso y cuenta con datos de auditoría detallados.

SentinelOne también se puede utilizar para implementar el acceso remoto a todos los dispositivos, incluidos los procesos y conexiones relacionados con RDP.

El agente y la herramienta de línea de comandos de SentinelOne pueden gestionar sus agentes. Puede comprobar su estado, ejecutar diagnósticos y supervisar y proteger los puntos finales. SentinelOne también se integra con otras plataformas como SonicWall y NinjaOne con su aplicación dedicada. Garantiza conexiones RDP fluidas en múltiples plataformas y proporciona la mejor seguridad integrada basada en inteligencia artificial.

Reserve una demostración en vivo gratuita.

Conclusión y CTA

Los ataques RDP siguen siendo una amenaza para las organizaciones de cualquier tamaño. Puede defenderse de estos ataques siguiendo las prácticas de esta guía. Necesitará contraseñas seguras, autenticación multifactorial y actualizaciones periódicas para mantener la seguridad. Puede detectar actividades sospechosas de forma temprana supervisando el tráfico de red y los registros RDP. Debe desactivar el RDP cuando no lo utilice y limitar el acceso mediante cortafuegos y listas blancas. Pero necesita herramientas avanzadas y formación de los empleados para mantener una buena postura defensiva. SentinelOne ofrece protección basada en inteligencia artificial que detecta y bloquea automáticamente las amenazas basadas en RDP, lo que le proporciona una visibilidad y un control completos de su entorno de escritorio remoto.

Proteja su empresa hoy mismo con SentinelOne.

"

FAQs