Attacco Brute Force con Desktop Remoto RDP
Microsoft da molti anni ha implementato un programma che consente la gestione e l'amministrazione delle postazioni di lavoro (PDL) e i server da remoto. Questo programma è Connessione al Desktop Remoto che usa il protocollo RDP (Remote Desktop Protocol) in ascolto sulla porta TCP/UDP 3389.
Il programma consente la completa gestione di un sistema Microsoft da remoto, per questo motivo bisogna mettere in atto delle misure tecnico organizzative per evitare che qualsiasi utente possa accedere alla postazione indovinando le credenziali di accesso.
Più spesso di quanto si possa pensare gli utenti non creano un nuovo utente ad hoc per le proprie postazioni ma usano quello predefinito Administrator, che ha i privilegi più alti per operare sulla postazione e ancora più spesso gli utenti hanno poca voglia di creare password complesse con lunghezza minima di 8 caratteri che possano comprendere caratteri alfanumerici, numeri e carattere speciale, cosi impstano una password "leggera" facilmente decifrabili. Una statistica ha dimostrato quanto la password "1234" sia diffusa tra i sistemi. Un gesto di pigrizia che si paga a caro prezzo.
Come funziona un attacco Brute Force
Lo scenario tipico è quello in cui una postazione ha il servizio Connessione Desktop Remoto attivo ed è connesso ad internet. L'utente malintenzionato usa strumenti per la scansione dell'intera rete internet alla ricerca del servizio RDP attivo e la porta in ascolto. In genere la porta predefinita è la porta 3389.Appena viene trovato un computer, sia workstation sia server, inizia l'attacco, si tenta di accedere al sistema inserendo una combinazione di username e password, i tentativi possono essere anche centinaia nell'arco di un ora.
Nel momento in cui il malintenzionato riesce a prendere possesso della postazione può fare quello che vuole, cancellare il file, installare un virus per corrompere l'intero sistema, ma è più probabile che possa installare un virus in grado di registrare ogni comando ricevuto dall'utente in una modalità silenziosa e trasferire il tutto chissà dove.
Ad esempio l'utente usa la postazione per accedere al conto corrente aziendale ed eseguire i pagamenti verso i fornitori, il malintenzionato verrebbe a conoscenza di alcuni dettagli sensibili all'azienda.
Oppure si tratta di una postazione che si occupa della progettazione di nuovi servizi o prodotti, parliamo quindi di spionaggio industriale
Si può voler vedere ad esempio il contenuto delle email ed è risultato più accedere alla postazione piuttosto che alla casella email
Gli scenari non sono mai positivi per chi subisce un attacco, non può sapere se l'attacco verrà sferrato per dispetto, per un ricatto o si tratta di un'azione mirata da parte dei suoi competitor.
Come proteggersi da un attacco Brute Force
Un buon sistema antivirus è in grado di capire e registrare eventuali attacchi di questo tipo, la loro frequenza elevata è un sintomo del tipo di attacco che l'antivirus riconosce subito e dovrebbe essere in grado quanto meno di avvisare l'utente, dico dovrebbe perché gli antivirus non sono tutti uguali.Sicuramente nel Registro Eventi sezione Sicurezza, viene registrato ogni tentativo di accesso fallito e riuscito, quindi avere sotto monitoraggio il registro eventi con determinati software è di fondamentale importanza.
Si può cambiare la porta predefinita TCP/UDP 3389 in ascolto per il servizio di Connessione Desktop Remoto agendo direttamente sulla configurazione di sistema nota come Editor Registro di Sistema (RegEdit) ma non mette completamente al riparo da attacchi poiché basterebbe una scansione delle porte attive e in poche ore ci si ritrova sotto attacco. Le modifiche al Registro richiedono la massima cautela e il riavvio della postazione e questo non è sempre possibile, immagino un server di produzione che non deve mai essere spento.
Si può utilizzare un Firewall hardware a monte della propria rete che registra il tipo di minaccia e blocca ogni tentativo di accesso, ma se l'attacco non è di tipo Brute Force il firewall si ritroverebbe costretto a far passare il tentativo di violazione convinto si tratti di un utente legittimo.
Server Cloud sotto attacco Brute Force
Le soluzioni viste consentono una adeguata protezione per le postazioni che si trovano all'interno dell'impresa e quindi fisicamente gestibili.Se pensiamo ad ambienti Cloud, praticamente all'ordine del giorno oggi capiamo subito che le protezioni fin qui adottate non possono essere eseguite.
Un'impresa che si affida al Cloud per la creazione di un Server ha sicuramente come primo obiettivo il risparmio delle licenze software che dovrebbe affrontare avendoli in sede.
Il problema di queste soluzioni vantaggiose è che lasciano "scoperte" le postazioni che a volte sono sensibili per le imprese, quindi come possono proteggersi da questo tipo di attacco?
Un sistema efficace di protezione consiste nel configurare il Firewall nativo del Server Microsoft andando a creare una Regola del Traffico in Entrata che controlli chi vuole accedere usando il protocollo RDP e autorizzare l'accesso solo da un determinato indirizzo IP fisso. Visto che ogni impresa ha un servizio di connessione ad internet professionale gli viene fornito anche un indirizzo IP pubblico,
Associando l'indirizzo IP pubblico dell'impresa alla regola del Server che si trova sul Cloud consente solo a quella rete di poter accedere al Server remoto e quindi limitare notevolmente ogni tentativo di attacco, consente inoltre di mantenere la porta predefinita 3389 e di non riavviare il server.
Tutti i servizi associati al server non subiranno alcuna limitazione, specialmente se è un server usato per l'erogazione dei servizi internet o di altra natura che usa altre porte di comunicazione.
Conclusione
Non sempre esiste una soluzione efficace al tipo di attacco subìto, e non sempre gli attacchi sono dei virus. In questo caso il tipo di attacco tenta di prendere il controllo della postazione per poi farne quello che vuole.In questo articolo ho voluto affrontare il problema e le varie soluzioni alla portata dei piccoli professionisti, in grado di correre ai ripari senza affrontare spese proibitive per apparecchiature di rete e software complessi.
Il mio ruolo data dall'esperienza pluriennale nel settore informatico mi permette di aiutare il cliente trovando soluzioni al problema prima che si presenti.
Se hai problemi con questo tipo di attacco ora sai come fare per tutelarti, se vuoi la mia consulenza puoi contattarmi dal sito oppure chiamami al 3318671100
Ricorda che non posso dirti come fare il tuo mestiere ma posso aiutarti a comunicarlo meglio e in questo caso ad evitare potenziali danni economici e di reputazione alla tua impresa
