Uno dei primi ransomware che ho visto all’opera ormai più di 4 anni fa, sfruttava come punto di ingresso un’esposizione RDP di un server (utilizzata a scopi di manutenzione amministrativa). Gli attacchi ransomware stanno diventando più mirati per essere più efficaci. E uno dei principali vettori di attacco ancora ad oggi rimane il Remote Desktop Protocol (RDP). Il desktop remoto è esattamente ciò che implica il nome, un’opzione per controllare in remoto un PC. E con il software attualmente disponibile, sembra quasi di essere seduto dietro quel PC, il che è ciò che lo rende così pericoloso.
Scenario tipico
Tramite social engineering o attacchi di tipo Brute-Force, gli attaccanti sono in grado di ottenere le credenziali di accesso per un desktop remoto. Utilizzando questo accesso, possono distribuire strumenti specializzati per:
-
Elevare i loro privilegi (quando necessario)
-
Lasciare backdoor per uso futuro
-
Ottenere il controllo su parti più estese della rete a cui è stato fatto accesso
-
Distribuire il ransomware e lasciare le istruzioni di pagamento
I primi tre punti rappresentano fattori molto importanti per le aziende: bisogna prestare molta attenzione, poiché dovranno essere esaminati in maniera specifica, dopo che è stata rilevata una violazione. Ci sentiamo in dovere di dirti che pagando il riscatto, stai facilitando gli autori del ransomware con i mezzi per continuare a commettere i loro reati informatici.
Ma sappiamo anche che a volte semplicemente non hai scelta. Quello che puoi fare però è attuare tutte le possibili strategie per evitare che questo tipo di attacco accada.
Lock-Down RDP
Ci sono alcune cose che puoi fare per rendere molto più difficile ottenere l’accesso alla tua rete tramite connessioni RDP non autorizzate:
-
Metti l’accesso RDP dietro una VPN in modo che non sia direttamente accessibile.
-
Oppure utilizza un server Gateway Desktop remoto, che offre ad esempio ulteriori vantaggi di sicurezza e operativi come 2FA (Two Factor Authentication).
-
I registri delle sessioni RDP possono rivelarsi particolarmente utili quando si cerca di capire cosa potrebbe essere successo, a patto di averli preventivamente abilitati. Poiché questi registri non si trovano sulla macchina compromessa, sono più difficili da falsificare dagli attaccanti.
-
Per rendere più difficile il successo di un attacco di Brute-Force, è utile utilizzare password complesse.
-
Non disabilitare l’autenticazione a livello di rete (NLA), poiché offre un livello di autenticazione aggiuntivo. Abilitalo, se non lo era già.
Autenticazione a livello di rete
-
Cambia la porta di default dell’RDP in modo che eventuali port-scanners alla ricerca di porte RDP aperte, non diano esito positivo agli attaccanti. Di default, il server RDP rimane in ascolto sulla porta 3389 sia per TCP che UDP. Cambiare la porta non è garanzia di sicurezza, ma probabilmente vi permetterà di non essere visti dagli attaccanti come facili obiettivi
-
Limita gli utenti che effettivamente hanno bisogno di utilizzare il servizio RDP. I will explain this in more detail below, as this can’t be done from the Remote Desktop settings but requires security policies.
-
Limit access to specific IPs if possible. There’s no need for a whole lot of IPs that need RDP access.
Patch per prevenire una “Privilege Escalation”
Esistono diverse possibilità per effettuare Privilege Escaltion rispetto ai diritti utente su sistemi Windows, alcuni anche usando il protocollo RDP, ma tutte le vulnerabilità conosciute sono al momento fixate tramite apposite patch di sicurezza. Quindi, come sempre, è importante verificare che i sistemi siano completamente patchati & fully up-to-date, in modo da prevenire possibili attacchi in grado di sfruttare questa tipologia operativa dell’attaccante.
Limitare gli utenti che effettivamente hanno necessità di utilizzare RDP
Il primo step è quello di creare un gruppo utenti a cui sarà concesso come privilegio l’utilizzo dell’RDP. Per fare questo è possibile utilizzare una Group Policy a livello di dominio oppure una policy con validità locale. Eseguendo la Group Policy Management Console (GPMC.MSC).
- All’interno della GPMC, selezionare Computer Configuration > Windows Settings > Security Settings > Restricted Groups.
- Pulsante destro su Restricted Groups e poi click su Add Group.
- Click Browse > digitare Remote > click Check Names fino a trovare “REMOTE DESKTOP USERS.”
- Click OK su Add Groups.
- Click Add su MEMBERS OF THIS GROUP e poi click su Browse.
- Digitare il nome del gruppo di dominio a cui sarà concesso l’utilizzo dell’RDP, poi cliccare su Check Names > click OK > OK.
- Sul PC o SERVER su cui vogliamo applicare la policy digitiamo da un CMD GPUPDATE/FORCE in modo da forzare l’applicazione della Group Policy.
Per la medesima configurazione su PC o SERVER Locale invece: Pannello di Controllo > System and Security > Administrative Tools > Local Security Policy > User Rights Assignment (oppure eseguire GPEDIT.MSC)
Rimuovere il gruppo “Administrators” dal criterio “Consenti accesso tramite Servizi Desktop remoto” e rimuovere anche il “Gruppo utenti desktop remoto” per quanto contraddittorio possa sembrare. Ora sarà possibile aggiungere gli utenti o il gruppo a cui vorrai delegare il diritto di accedere via accesso remoto tramite RDP.
Ma gli utenti davvero necessitano di accedere remotamente ai sistemi?
Sebbene strana, questa è una domanda valida e non dovresti aver paura di farla. Anche se segui tutte le linee guida sulla sicurezza, ci sono sempre possibili debolezze nei sistemi che possono essere sfruttate, indipendentemente dal fatto che siano state trovate o meno dagli attaccanti. Il consiglio è quello quindi di evitare possibili aperture, soprattutto laddove non strettamente richiesto e/o necessario. Le possibili conseguenze potrebbero essere devastanti, soprattutto senza un’efficace strategia di backup.