Come prevenire gli attacchi RDP (Remote Desktop Protocol)?

L'RDP si basa sugli standard della famiglia di protocolli T-120 e ha acquisito importanza quando Microsoft ha consentito agli utenti di connettersi e controllare in remoto altri computer tramite reti. Protegge le comunicazioni di rete e consente agli utenti di utilizzare i desktop a distanza.

Tuttavia, l'RDP non è privo di rischi. Può essere sfruttato per ottenere l'accesso non autorizzato ai dispositivi. Dal suo debutto sono state rilasciate 16 versioni principali di Windows, il che significa che gli autori delle minacce hanno avuto molte opportunità di dirottarlo e ottenere l'accesso remoto ai server e ai dispositivi Windows. Questa guida ti spiegherà come prevenire gli attacchi RDP e proteggerti.

Che cos'è un attacco RDP (Remote Desktop Protocol)?

RDP è un protocollo di connessione sviluppato da Microsoft che consente agli utenti di controllare da remoto i dispositivi desktop (o qualsiasi dispositivo con sistema operativo Microsoft). Le connessioni desktop remote utilizzano la porta TCP (Transmission Control Protocol) 3389, che è l'hub principale delle connessioni remote. Quando gli autori delle minacce compromettono i suoi canali crittografati e ne assumono il controllo, si parla di attacco al protocollo desktop remoto.

Ecco una breve descrizione di come funzionano gli attacchi RDP:

• Gli aggressori inizieranno prima di tutto a scansionare la porta RDP. Se ci sono dispositivi attivi collegati ad essa, questi fungeranno da punto di ingresso alla rete. L'autore della minaccia può forzare l'accesso alla rete attraverso questa porta e sfruttare i grandi volumi di connessioni RDP.
• Dopo aver compromesso con successo il sistema iniziale, l'aggressore eseguirà la scansione dell'intera rete con sottoreti e intensificherà la sua penetrazione. Potrebbe utilizzare le connessioni Windows Management Instrumentation™ per più endpoint su ambienti di elaborazione distribuiti o chiamate di procedura remota e attivare una serie di attacchi.
• Quando un dispositivo viene compromesso, l'aggressore ne assume il controllo. Utilizzando l'interfaccia di comando e controllo, invieranno comandi ad altri endpoint e reti nell'infrastruttura. Possono utilizzare la macchina compromessa per creare nuove connessioni RDP a porte non standard.
• Quando un aggressore arriva a questa fase, può spostarsi lateralmente nelle reti e penetrare più in profondità nella vostra azienda. Può ottenere privilegi maggiori, recuperare dati sensibili e appropriarsi di risorse di alto valore. A questo punto, può anche eludere il rilevamento da parte dell'ultimo stack di sicurezza dell'organizzazione.

In che modo i criminali informatici sfruttano l'RDP?

Gli attacchi RDP prendono di mira specificamente la forza lavoro distribuita e gli appaltatori di terze parti. Il dirottamento di risorse ad alta intensità di calcolo ha un grande valore e l'RDP può garantire una migliore visibilità sull'accesso ai server e alle sessioni Windows.

L'RDP tradizionale non era dotato delle misure di sicurezza e privacy che conosciamo oggi. Per l'autenticazione dell'utente era sufficiente una combinazione di nome utente e password. L'RDP non disponeva di default di un'autenticazione a più fattori integrata.

Come rilevare un accesso RDP non autorizzato?

Ecco alcuni passaggi che è possibile seguire per rilevare un accesso RDP non autorizzato:

• Controllare i log RDP per individuare eventuali comportamenti anomali o attività dannose. Cerca tentativi di accesso non riusciti, accessi frequenti e accessi da indirizzi IP non riconoscibili. Questi tentativi indicano che l'hacker ha cercato di accedere al sistema.
• Puoi esaminare e analizzare il traffico di rete utilizzando strumenti di monitoraggio della rete come SentinelOne. Cerca di individuare anomalie di rete, modelli di traffico anomali e verifica se vengono inviati o ricevuti molti dati da indirizzi IP specifici.
• La porta 3389 mostrerà picchi di attività se qualcosa non funziona correttamente. Registra e monitora il traffico di rete, esegui una scansione per identificare tentativi di accesso indesiderati.

Best practice per prevenire gli attacchi RDP (oltre 10)

Ecco alcune delle pratiche da seguire in ordine. Una volta implementate, potrete capire come prevenire gli attacchi RDP:

• Create password molto sicure combinando caratteri speciali, numeri, lettere e simboli. Si consiglia una lunghezza minima di 15 caratteri. È inoltre consigliabile mescolare le password e non riutilizzare la stessa password per tutti gli account. Se avete difficoltà a ricordare e tenere traccia di tutte le vostre password, utilizzate un archivio password.
• Applicate automaticamente gli aggiornamenti Microsoft per tutte le versioni del vostro software client e server. Assicuratevi che l'impostazione sia attivata e che gli aggiornamenti vengano installati in background senza richieste manuali. Dovreste anche dare priorità alla correzione delle vulnerabilità RDP con exploit pubblici noti.
• Implementate l'autenticazione a più fattori e utilizzate le ultime politiche di monitoraggio degli account per combattere gli attacchi di forza bruta. Dovreste anche cambiare la porta RDP predefinita da 3389 a un'altra per una maggiore sicurezza.
• Utilizza l'elenco di connessioni consentite e limitale a host specifici e affidabili. Ti consigliamo di limitare l'accesso alla porta del desktop remoto solo a indirizzi IP selezionati e verificati. Se modifichi l'impostazione del server, questo impedirà l'accettazione di qualsiasi tentativo di connessione da indirizzi IP che non rientrano nell'elenco di connessioni consentite. Bloccherà automaticamente i tentativi e i processi dannosi.
• Crea un'architettura di sicurezza di rete Zero Trust (ZTNA) e applica il principio dell'accesso con privilegi minimi a tutti gli account. È fondamentale eseguire controlli regolari e assicurarsi che tutte le porte RDP siano mantenute sicure.
• Limita l'accesso alle connessioni RDP installando firewall. È inoltre necessario aggiungere il pool di indirizzi della rete privata virtuale dell'azienda alle regole di eccezione del firewall RDP. Abilitare l'autenticazione a livello di rete prima di stabilire nuove connessioni RDP.
• Configurare i server desktop remoti in modo che accettino connessioni senza NLA se si utilizzano client desktop remoti su piattaforme non supportate. Controllare le impostazioni dei criteri di gruppo e rendere obbligatoria l'autenticazione degli utenti per tutte le connessioni remote.
• È inoltre possibile configurare criteri di blocco degli account. Per un determinato numero di tentativi errati, ciò impedirà agli hacker di ottenere un accesso non autorizzato utilizzando strumenti automatizzati di individuazione delle password. È possibile impostare fino a tre tentativi non validi con una durata di blocco di tre minuti ciascuno.
• Utilizza soluzioni avanzate di rilevamento delle minacce basate sull'intelligenza artificiale e anti-malware. Configurare processi di scansione in background e monitoraggio della sicurezza degli endpoint in modo che i dispositivi, le reti e gli utenti siano costantemente monitorati. Ciò contribuirà a prevenire attacchi interni e shadow IT, aggiungendo un ulteriore livello di protezione.
• Istruire i dipendenti su come riconoscere le connessioni RDP non riuscite e i tentativi di accesso. Incoraggiali a segnalare le loro scoperte in modo anonimo, se necessario, e promuovi una cultura della trasparenza sul posto di lavoro. Se i tuoi dipendenti diventano attivi e coinvolti, allora tutto il team sarà sulla stessa lunghezza d'onda. Tutti i tuoi reparti dovrebbero sapere come prevenire gli attacchi RDP ed essere consapevoli delle misure adottate dagli aggressori per intensificare i controlli e i privilegi. La sicurezza inizia con la protezione degli utenti che utilizzano queste tecnologie prima di ricorrere a strumenti di automazione e flussi di lavoro per la difesa.

Come rispondere a un attacco RDP?

Utilizza la piattaforma SentinelOne Singularity XDR per automatizzare le indagini sugli incidenti e applicare le migliori pratiche RDP. Puoi aiutare il tuo team SOC ad accelerare la sua risposta. Ecco i passaggi da seguire se sei vittima di un'infezione RDP:

• Blocca l'utente compromesso e l'indirizzo IP dell'autore dell'attacco non appena li scopri. In questo modo potrai contenere la minaccia e metterla in quarantena. Avvia un'indagine ASN ed esamina le attività degli utenti. Utilizza il modulo XSOAR di SentinelOne per rilevare le campagne relative all'RDP.
• Singularity Threat Intelligence e Purple AI possono fornirti informazioni più approfondite sull'indirizzo IP degli aggressori. Isola gli endpoint compromessi e recupera le attività in base alle diverse fasi MITRE. SentinelOne ti guiderà lungo tutto il percorso, dall'arricchimento dei dati all'indagine e alla risposta. Puoi chiudere l'incidente, aggiornare e sincronizzare con XDR. Potrai visualizzare tutte le informazioni sugli ecosistemi di gestione degli utenti interni ed esterni dalla dashboard e dalla console unificate.
• Se desideri eseguire un'indagine approfondita, puoi prendere in considerazione la possibilità di provare i servizi di ricerca delle minacce di SentinelOne. Vi riveleranno altri IoC (Indicatori di compromissione) relativi agli IP o alle campagne degli aggressori. IP o alle campagne.
• Continua a utilizzare la piattaforma SentinelOne per difenderti dagli attacchi brute force RDP e proteggere le risorse critiche della tua organizzazione. Implementa le migliori misure di sicurezza informatica e rafforza le difese cloud contro le minacce emergenti.

Esempi reali di attacchi informatici basati su RDP

La porta predefinita 3389 di RDP può essere utilizzata per lanciare attacchi on-path. BlueKeep è stata una delle vulnerabilità RDP più gravi ed è stata ufficialmente etichettata come CVE-2019-0708. Si trattava di un'esecuzione di codice remoto (RCE) senza autenticazione e conforme a un formato specifico. Era funzionante e finì per diffondersi ad altre macchine all'interno della rete. Gli utenti non potevano fare nulla e i malintenzionati avevano compromesso i sistemi ottenendo un accesso non autorizzato, muovendosi lateralmente all'interno della rete durante tutto il processo. Hanno aumentato i privilegi e installato malware, arrivando persino a distribuire ransomware.

Gli aggressori possono identificare rapidamente le porte RDP configurate in modo errato e lanciare attacchi utilizzando web crawler come Shodan. Possono avviare attacchi di forza bruta e ottenere automaticamente un accesso non autorizzato e persino avviare attacchi man-in-the-middle (MitM). Anche moduli malware come Sodinokibi, GandCrab e Ryuk possono essere coinvolti in attacchi RDP, come nel caso dell'attacco ransomware RobinHood che ha colpito la città di Baltimora.

Mitigare gli attacchi RDP con SentinelOne

SentinelOne è in grado di bloccare le connessioni Remote Desktop Protocol, compresi gli attacchi sospetti P2P al desktop remoto. Può utilizzare le sue funzionalità di sicurezza degli endpoint per proteggere l'accesso remoto per la shell remota completa. È possibile distribuire l'agente SentinelOne e monitorare tutte le applicazioni e i file, compresi i processi e le connessioni relativi a RDP.

SentinelOne può distribuire automaticamente l'accesso remoto a tutti i dispositivi, compresi quelli relativi a RDP.

È inoltre possibile utilizzare SentinelOne per intraprendere azioni quali mettere in quarantena i file e ripristinare le modifiche non autorizzate. È in grado di rilevare e bloccare gli attacchi P2P RDP che utilizzano strumenti commerciali disponibili in commercio come TeamViewer o VMC per il controllo remoto.

È inoltre possibile rilevare e proteggersi dalle vulnerabilità più recenti, come la vulnerabilità BlueKey, nota per prendere di mira e sfruttare le connessioni RDP. SentinelOne fornisce misure di sicurezza aggiuntive, come l'implementazione di controlli di accesso basati su criteri. Utilizza password dedicate per crittografare ogni sessione e implementa anche l'autenticazione a più fattori.

È in grado di applicare l'autenticazione a due fattori prima di consentire l'accesso e dispone di dati di auditing dettagliati.

SentinelOne può anche essere utilizzato per implementare l'accesso remoto a tutti i dispositivi, inclusi i processi e le connessioni relativi a RDP.

L'agente e lo strumento da riga di comando di SentinelOne possono gestire i propri agenti. Può controllarne lo stato, eseguire diagnosi e monitorare e proteggere gli endpoint. SentinelOne si integra anche con altre piattaforme come SonicWall e NinjaOne con la sua app dedicata. Assicura connessioni RDP senza interruzioni su più piattaforme e fornisce la migliore sicurezza integrata basata sull'intelligenza artificiale.

Prenota una demo live gratuita.

Conclusione e CTA

Gli attacchi RDP rimangono una minaccia per le organizzazioni di qualsiasi dimensione. È possibile difendersi da tali attacchi seguendo le pratiche descritte in questa guida. Per garantire la sicurezza sono necessarie password efficaci, autenticazione a più fattori e aggiornamenti regolari. È possibile individuare tempestivamente attività sospette monitorando il traffico di rete e i registri RDP. È necessario disabilitare RDP quando non lo si utilizza e limitare l'accesso tramite firewall e liste di autorizzazione. Tuttavia, per garantire una buona difesa sono necessari strumenti avanzati e la formazione dei dipendenti. SentinelOne offre una protezione basata sull'intelligenza artificiale che rileva e blocca automaticamente le minacce basate su RDP, offrendo visibilità e controllo completi dell'ambiente desktop remoto.

Proteggete la vostra azienda oggi stesso con SentinelOne.