In questo articolo parleremo di cosa sia il Brute Force al protocollo RDP, di come sia divenuto l’attacco più utilizzato da malintenzionati informatici per accedere a sistemi non protetti e di come possiamo difenderci, configurando a dovere i nostri server. Ma cosa è l’RDP? È un applicativo che consente la gestione delle proprie postazioni di lavoro e dei server da remoto.
Questo programma usa il protocollo RDP (Remote Desktop Protocol) in ascolto sulla porta TCP/UDP 3389 e consente la completa gestione del sistema da remoto, come fossimo davanti al nostro client, ed è accessibile attraverso un sistema di autenticazione che utilizza il sistema basato su username e password; per questa ragione occorre avere delle strategia tecnico organizzative per evitare che qualsiasi malintenzionato possa accedere alla postazione, cercando di indovinare le credenziali di accesso.
Come funziona l’attacco Brute Force?
L’hacker scansiona gli indirizzi IP dei client, in ricerca della porta RDP 3389 (che è la porta RDP di default), che sono aperti alla connessione. Una volta trovata, lancia un attacco brute force sul protocollo RDP. La tecnica di brute-force consiste nel tentare di azzeccare una password attraverso ripetuti tentativi, usando credenziali molto diffuse, conosciute, parole del dizionario, numeri di date importanti o altre combinazioni.
Esistono molti tool a disposizione su Internet che eseguono sia la funzione di scansione delle porte sia il brute force. Una volta entrato, l’hacker disabilita l’antivirus e avvia il payload: cioè significa che, anche se l’antivirus fosse aggiornato e in grado di individuare e contrastare il malware, disabilitandolo lascia il sistema privo di difese.
Una volta preso possesso della postazione, l’attaccante può cancellare il file, installare un virus, installare un programma in grado di registrare ogni comando ricevuto dall’utente in una modalità silenziosa carpendo quindi password, codici di carte di credito e di conti bancari. Potrebbe anche essere una postazione che si occupa della progettazione di nuovi servizi o prodotti, entrando quindi nello scenario di spionaggio industriale.
Come proteggersi da un attacco Brute Force
Premesso che l’amministrazione di un sistema attraverso l’RDP non è la modalità più consigliata, il primo passo sarebbe quello di proteggere la connessione con una VPN. Poi, altro aspetto da tener in considerazione è la generazione delle password. Purtroppo, gli utenti tendono ad utilizzare parole facili da ricordare, quindi altrettanto facili da individuare per il malintenzionato che cerca di violare le credenziali di accesso.
Sarebbe opportuno usare accorgimenti ulteriori, quali l’uso di sistemi di autenticazione a due fattori (MFA) o la generazione di token “usa e getta”. Tutti sistemi, questi, che però stentano ancora a prendere piede nonostante negli ultimi tempi le tecnologie per il loro utilizzo abbiano fatto passi da gigante.
Altro aspetto importante: un buon sistema antivirus, aggiornato, è in grado di anticipare eventuali attacchi di questo tipo: la loro frequenza elevata è un sintomo del tipo di attacco che l’antivirus riconosce subito e dovrebbe essere in grado di avvisare l’utente. Nel registro eventi, sezione sicurezza, viene registrato ogni tentativo di accesso fallito e riuscito, quindi avere sotto monitoraggio il registro eventi con determinati software è di fondamentale importanza per verificare questo tipo di attacchi.
Volendo, cambiare la porta 3389 in ascolto per il servizio di connessione desktop remoto non mette completamente al riparo da attacchi poiché è sufficiente una scansione delle porte attive e in poco tempo ci si ritrova sotto attacco. Ovviamente, le modifiche al registro richiedono la massima cautela. Un buon Firewall hardware a monte della propria rete può registrare ogni tipo di minaccia e bloccare ogni tentativo di accesso.
Altre Best Practices
- Utilizzare password sicure e diverse rispetto gli account in nostro possesso. Password prevedibili quali Admin, admin@123, user, 123456 possono essere facilmente individuate durante un attacco di brute force fin dai primi tentativi. Buona cosa è forzare l’utilizzo di password complesse e il cambio ogni 30/60/90 giorni mediante Active Directory.
- Configurare una protezione tramite password per i tuoi software di sicurezza. Questo consentirà di impedire l’accesso al sistema da parte di utenti sospetti.
- Disabilita l’account Amministratore e utilizza un account differente per le attività amministrative. La maggior parte dei tentativi di brute-force, infatti, sono compiuti su un account Amministratore in quanto spesso è presente di default. Rimuovi inoltre ogni altro utente non utilizzato e ospite, nel caso siano presenti nel sistema.
- Attivare l’autenticazione a livello di rete nelle tue impostazioni RDP
- Configurare l’account lockout policies, parametro che blocca automaticamente l’account dopo un numero specificato di tentativi falliti.
Brute Force su Server Cloud
Le soluzioni viste finora consentono una adeguata protezione per le postazioni e i server che si trovano all’interno dell’impresa, on premise, e che quindi fisicamente gestibili. Se passiamo invece ad ambienti cloud, gli attacchi di brute force sono all’ordine del giorno e le protezioni fin qui adottate non possono essere implementate.
Un sistema efficace di difesa consiste nel configurare il firewall nativo del server andando a creare una regola del traffico in entrata che controlli i tentativi di connessione che usano il protocollo RDP ed autorizzare l’accesso solo da un determinato indirizzo IP fisso: ogni impresa con una connessione ad internet viene fornita di indirizzo IP pubblico statico.
Associando l’indirizzo IP pubblico dell’impresa alla regola del server che si trova sul cloud consente esclusivamente a quella rete di poter accedere al server remoto e quindi limitare notevolmente ogni tentativo di intrusione, consentendo inoltre di mantenere la porta predefinita 3389. Abbiamo visto quindi come proteggersi da attacchi brute force richieda non sia facile e richieda molta esperienza.
Occorre affidarsi ad aziende in grado di garantirci ottime difese. Nexsys propone corsi con lo scopo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici; insegna inoltre agli amministratori di sistema le migliori strategie affinché possano mitigare ogni possibile attacco.
