23°C 16°/ 24°
Internet

Tem o RDP ativo no Windows? Se não usa, desative tal funcionalidade

17 Comentários

RDP é a abreviatura de Remote Desktop Protocol, uma funcionalidade que permite que um computador se ligue a outro computador através de uma rede para usá-lo de forma remota. A partir dessa ligação, uma pessoa pode abrir pastas, fazer o download e upload de ficheiros e executar programas, como se estivesse a usar o teclado e o monitor ligados a esse servidor.

Mas atenção aos ataques via RDP! ESET alerta para o aumento deste tipo de ataques.

Tem o RDP ativo no Windows? Se não usa, desative tal funcionalidade


A ESET divulgou o seu Threat Report correspondente ao quarto trimestre de 2020, resumindo as principais estatísticas recolhidas pelos sistemas de deteção da especialista em cibersegurança. A transição rumo ao trabalho à distância, a partir de casa, por causa da pandemia, assinalou o crescimento de ataques Remote Desktop Protocol (RDP), embora a um ritmo inferior quando comparado com os anteriores trimestres de 2020.

Roman Kováč, Chief Research Officer da ESET, explicou que…

A segurança RDP não deve ser menosprezada em especial devido a ataques ransomware, que são habitualmente usados em exploits RDP” (…) com as suas táticas cada vez mais agressivas, ele representa um grande risco para os setores privado e público

O que fazem os hackers com o RDP?

Uma vez que os atacantes conhecem o tipo de servidor e o que controlam podem começar a realizar ações maliciosas. Algumas das atividades maliciosas mais comuns que temos visto incluem:

  • Apagar ficheiros de registo que denunciem a sua presença no sistema;
  • Desabilitar as cópias de segurança programadas e as shadow copies;
  • Desabilitar o software de segurança ou configurar as suas exclusões (o que apenas é permitido a administradores);
  • Descarregar e instalar vários programas no servidor;
  • Apagar ou subscrever cópias de segurança antigas, se estiverem acessíveis.

Tem o RDP ativo no Windows? Se não usa, desative tal funcionalidade

Para se proteger de ataques RDP:

  • 1. Desative ligações externas a máquinas locais na porta 3389 (TCP / UDP) no firewall de perímetro. (1)
  • 2. Teste e implemente patches para a vulnerabilidade CVE-2019-0708 (BlueKeep) e ative NLA (Network Level Authentication) o quanto antes.
  • 3. Para todas as contas que possam iniciar sessão através de RDP, devem ser consideradas passwords complexas (é obrigatória uma password grande, que possua no mínimo mais de 15 caracteres sem palavras relacionadas com a empresa, nomes de produtos ou utilizadores).
  • 4. Instale autenticação de dois fatores (2FA) e, no mínimo, exija-a em todas as contas que possam iniciar sessão através de RDP.
  • 5. Instale uma VPN para gerir todas as ligações RDP de fora da sua rede local.
  • 6. Proteja com password o software de segurança para endpoint utilizando uma password segura não relacionada com contas administrativas e de serviço.
  • 7. Ativar o bloqueio de exploits no software de segurança para endpoint.
  • 8. Isole qualquer computador inseguro o qual seja acedido a partir da internet utilizando RDP.
  • 9. Substitua os computadores inseguros.
  • 10. Considere estabelecer o bloqueio de geoIP na gateway de ligação VPN.
    • (1) Por omissão, o RDP opera no porto lógico 3389. Se alterou esse porto para um valor diferente, então essa é esse porque que deve ser bloqueada.
    • Deve verificar se o seu software de segurança deteta a vulnerabilidade BlueKeep. Esta vulnerabilidade é detetada como RDP/Exploit.CVE-2019-0708 pelo módulo Network Attack Protection da ESET, que é uma extensão da tecnologia de firewall da ESET presente nos programas de proteção de endpoints da ESET para empresas. Se estiver a utilizar software de segurança de outro fornecedor, consulte-os para saber se deteta Bluekeep e como.
    • Tenha em consideração que estes passos representam apenas o início do que pode fazer para se proteger contra os ataques RDP. Embora a deteção de ataques seja um bom começo, não substitui a importância do patch ou substituição dos computadores vulneráveis. Saber mais aqui.

Outra tendência observada no quarto trimestre foi um aumento de ameaças de email relacionados com a pandemia, especialmente aqueles a respeito dos programas de vacinação de fim de ano. As vacinações ofereceram a cibercriminosos uma oportunidade de expandir os seus portfolios de engodos usados, uma tendência que se espera que continue no decorrer de 2021.

A história em destaque neste Threat Report lembra os eventos de outubro de 2020, quando a ESET fez parte de uma campanha de disrupção global que teve como alvo o TrickBot, um dos maiores e mais duradouros botnets. Este esforço coordenado permitiu derrubar 94% dos servidores do TrickBot numa só semana.

O Threat Report do quarto trimestre de 2020 da ESET também analisa as mais importantes descobertas e realizações dos seus investigadores, incluindo o desvendar de um até então desconhecido grupo APT que visava os Balcãs e a Europa Oriental designado XDSpy, e um número impressionante de ataques supply-chain, desde o ataque Lazarus na Coreia do Sul, até ao Operation SignSight no Vietname.

Finalmente, a ESET chama a atenção neste relatório para as numerosas palestras levadas a cabo pelos seus especialistas no quarto trimestre, introduz palestras planeadas para a conferência RSA em maio de 2021, e oferece uma visão geral das suas contribuições para a base de conhecimentos MITRE ATT&CK.

 

Leia também…

Porque devemos desligar o RDP para evitar ciberataques

Autor: Pedro Pinto
Partilhar:
Tags:
RDP Windows
Square Enix e Crystal Dynamics celebram 25 anos de Tomb Raider
Artigo anterior

Square Enix e Crystal Dynamics celebram 25 anos de Tomb Raider
XPrize: Elon Musk investe $100 milhões em competição para “negatividade do carbono”
Próximo artigo

XPrize: Elon Musk investe $100 milhões em competição para “negatividade do carbono”
Também pode gostar
PUB

Comentários

17

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de VitorPT
    VitorPT

    O que aconselham como 2FA?

    Responder
    1. Avatar de José Fonseca Amadeu
      José Fonseca Amadeu

      Por aqui uso Duo, agora comprado pela Cisco.

      Responder
      1. Avatar de xico
        xico

        Usas isso para autenticar em active directory ou em “single” pc?

        Responder
        1. Avatar de José Fonseca Amadeu
          José Fonseca Amadeu

          Não autentico nada em AD directamente mas sempre através de VIPs em DMZ, não usamos single pc propriamente dito mas sim VDI VMware e Citrix, e nesses casos autenticas “directo”, também seria possível num RDP/RDS ou whatever.

          Responder
    2. Avatar de Pedro Liz
      Pedro Liz

      Microsoft autenticator, simplesmente o melhor.

      Responder
      1. Avatar de João Carçolo
        João Carçolo

        Aegis authenticator

        Responder
        1. Avatar de eu
          eu

          Como usar o Aegis authenticator para RDP ?

          Responder
      2. Avatar de eu
        eu

        Como usar o Microsoft autenticator para RDP ?

        Responder
        1. Avatar de Tx2
          Tx2

          pelo ‘simplesmente o melhor’ deduzo que deve estar a falar para uso pessoal, se quiseres usar Azure Multi-Factor Authentication Server tens a opção para usar mensagens de texto ou mobile app, se ativeres mobile app qualquer app authenticator serve

          Responder
          1. Avatar de xico
            xico

            Usas isso com ative directory + azure?

      3. Avatar de José Fonseca Amadeu
        José Fonseca Amadeu

        Problema do autenticator é usares com algo non microsoft.

        Responder
    3. Avatar de PeterSnows
      PeterSnows

      Existe algum gratis e/ou OpenSourece ?

      Responder
  2. Avatar de Barros
    Barros

    Como desativar RDP sem dramas ..-
    A aplicação Remote Desktop do Windows, integrado no Windows 7 , está desligada por padrão.
    Se ligou o RDP e agora quer desligar é simples.

    1º – Abra o menu Iniciar do computador (o botão de logotipo do Windows no canto inferior esquerdo do ecrã) . Clique com o botão direito do mouse no ícone ” Computador”.

    2º Clique no botão “Propriedades”, clique no link ” Configurações remotas ” .

    3º Clique na opção “Não permitir permitir conexões com este computador” . Clique em ” OK ” para desligar o Remote Desktop .

    Responder
    1. Avatar de jorgeg
      jorgeg

      +1 loll

      Responder
  3. Avatar de 21centavos
    21centavos

    Bom artigo!

    Responder
    1. Avatar de Evaristo
      Evaristo

      +1

      Responder
  4. Avatar de informado
    informado

    lol windows

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.