Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger las implementaciones de Escritorio remoto de Windows

[03/04/2021] A menudo, los atacantes acceden a sus sistemas a través del acceso remoto. Como ejemplo reciente, los atacantes tomaron el control del software en una instalación de tratamiento de agua de Estados Unidos, y cambiaron la cantidad de químicos que ingresaban al sistema. Según los informes, las computadoras utilizadas para controlar el sistema de agua eran máquinas con Windows 7 sin parches, y utilizaban el software de uso compartido de escritorio TeamViewer. El cambio se notó y se revirtió rápidamente, pero el incidente subrayó el potencial de causar daño de forma remota en otros lugares.

En esta era de trabajo remoto, el acceso remoto es obligatorio, pero también lo es monitorear el acceso y asegurarse de que está protegiéndolo. El FBI recomienda los siguientes pasos para proteger mejor el acceso remoto:

  • Haga uso de la autenticación multifactor (MFA).
  • Utilice contraseñas seguras para proteger las credenciales del Protocolo de escritorio remoto (RDP).
  • Asegúrese de que los antivirus, filtros de correo no deseado y firewalls estén actualizados y configurados correctamente.
  • Audite las configuraciones de la red y aísle los sistemas informáticos que no pueden ser actualizados.
  • Revise su red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique MFA donde sea posible y registre los intentos de inicio de sesión de RDP.
  • Audite los registros para todos los protocolos de conexión remota.
  • Capacite a los usuarios para identificar y reportar intentos de ingeniería social.
  • Identifique y suspenda el acceso de usuarios que exhiban actividad inusual.
  • Mantenga el software actualizado.

A continuación, se explica cómo configurar su red de Windows para seguir mejor estos consejos.

Habilite la auditoría de Escritorio remoto

Auditar las conexiones de Escritorio remoto de Windows es relativamente fácil, pero está enterrado en un archivo de registro en su sistema. Siga este camino en orden:

"Applications and Services Logs / "Registros de aplicaciones y servicios
"Microsoft
"Windows
"Terminal-Services-RemoteConnectionManager
"Operational / "Operacional

Utilice herramientas para analizar mejor los archivos de registro

Hacer correlaciones entre sus servidores puede tomar mucho tiempo y ser difícil de revisar. Sin embargo, algunas herramientas pueden ayudar, como el visor de registro RDS RDPSoft, que permite revisar y sondear los archivos de registro en sus sistemas.

Recomiendo seguir la guía proporcionada por Andy Milford al agregar Sysmon a sus implementaciones de escritorio remoto para poder revisar y escanear mejor en la búsqueda de ataques. Puede utilizar varios archivos de configuración para modificar los ajustes de Sysmon según sus necesidades. La guía recomendada que se encuentra en Github y en otros lugares le brinda un comienzo sólido para monitorear eventos. La configuración de Sysmon proporcionada por Olafhartong asigna los eventos a las secuencias MITRE ATT&CK para poder determinar con mayor precisión los eventos donde ocurrirán los ataques.  

Tenga cuidado con las políticas de bloqueo de cuentas

Andy señala que tradicionalmente recomendaríamos a los administradores del sistema establecer políticas de bloqueo de cuentas para bloquear a los atacantes que intentan forzar una cuenta. Sin embargo, eso crea una situación en la que los atacantes pueden desencadenar un ataque de denegación de servicio. También frustra a los usuarios finales y causa problemas a los administradores. Por lo tanto, no recomienda habilitar los bloqueos de cuentas. Actualmente los atacantes recolectan nombres de usuario y contraseñas, así que pueden simplemente iniciar sesión y no usar la fuerza bruta sobre una cuenta.

Agregue el Remote Desktop Commander a las implementaciones de su servidor de Remote Desktop Commander le permite rastrear a través de la ubicación geográfica dónde están los usuarios y atacantes que intentan iniciar sesión. El software recopila y correlaciona automáticamente los eventos clave de los archivos de registro de eventos en los servidores Session Host y los servidores Remote Desktop Gateway, y ofrece una vista gráfica de quién se está conectando a su red.

Al revisar mis propias conexiones de Escritorio remoto, se puede ver que muchas veces no se muestra las conexiones celulares accediendo desde la ciudad en la que se encuentra el usuario. Más bien, posiblemente muestra la ubicación regional del proveedor. Puede que tenga que hacer correlaciones adicionales para determinar si los usuarios acceden adecuadamente de forma remota.

Remote Desktop Commander muestra las ubicaciones de las personas que inician sesión.
Escritorio remoto Windows, Seguridad

Comprenda cómo los atacantes encuentran implementaciones de Escritorio remoto expuestas

Los atacantes también pueden usar motores de búsqueda para identificar dónde están expuestas las implementaciones web de Escritorio remoto. Las páginas de acceso suelen tener la frase RDWeb en la URL. Como señala Andy en "RDPwned: A Guide to Securing Microsoft Remote Desktop Services, los atacantes pueden buscar mensajes de error estándar incrustados en el HTML, como "allintext: Unable to display RD Web Access/No se puede mostrar el acceso web RD y atacar muchos servidores RDWeb expuestos. El motor de búsqueda Shodan permite a los atacantes buscar RDP.

Tenga cuidado con las vulnerabilidades en las herramientas de acceso remoto de terceros

Las herramientas de acceso remoto de otros proveedores también pueden exponer su sistema a ataques. Malwarebytes publicó recientemente que los atacantes se están enfocando más en los puntos de entrada remotos debido al incremento del trabajo desde casa por la pandemia. Hace un año, los investigadores de Check Point encontraron 16 vulnerabilidades importantes y 25 vulnerabilidades de seguridad generales en herramientas de acceso remoto.

Los investigadores de Check Point recomiendan deshabilitar la función de copiar y pegar a través de una conexión RDP, ya que podría provocar acciones maliciosas. Como señalan, "si un cliente usa la función de copiar y pegar a través de una conexión RDP, un servidor RDP malintencionado podría colocar de forma transparente archivos arbitrarios en ubicaciones arbitrarias en la computadora del cliente, limitado solo por los permisos del cliente. Por ejemplo, podríamos colocar secuencias de comandos maliciosas en la carpeta de inicio y, luego de un reinicio, se ejecutarían en la computadora del cliente, otorgándonos un control total.

Esta era del trabajo desde casa requiere un enfoque más matizado del riesgo. No todo el mundo necesita acceso al portapapeles, pero quienes lo necesiten sufrirían graves inconvenientes si se bloqueara. Contrarreste este riesgo educando al usuario final para asegurarse de que no sean blancos de ataques de phishing.

Habilite la autenticación de dos factores

Por último, agregue la autenticación de dos factores (2FA) siempre que pueda. Yo utilizo Duo para agregar 2FA a mis necesidades de escritorio remoto. Exigir que los usuarios tengan algo más que su nombre de usuario y contraseña para acceder a sus recursos reducirá el riesgo de ransomware y otros ataques.