Los sistemas RDS y TSE han sido durante mucho tiempo objetivos favoritos de los hackers porque tienen acceso a información valiosa y son relativamente fáciles de explotar. Un ataque exitoso puede resultar en una variedad de consecuencias devastadoras, incluyendo pérdidas financieras, daño a la reputación de la marca y pérdida de la confianza del cliente. La mayoría de las organizaciones no se recuperan de una violación de seguridad importante, lo que hace que sea absolutamente crítico proteger a sus usuarios y clientes de amenazas que apuntan a aplicaciones y sistemas de archivos del servidor RDS.

Las conexiones remotas son objetivos fáciles para los ciberataques.

El acceso remoto es una característica común en los sistemas operativos. Permite a un usuario iniciar sesión en una sesión interactiva con una interfaz gráfica de usuario en un sistema remoto. Microsoft se refiere a su implementación del Protocolo de Escritorio Remoto (RDP) como Servicios de Escritorio Remoto (RDS). Sería bastante razonable suponer que la mayoría de los riesgos de seguridad se asumirían al ejecutar un RDS server y hubo algunos exploits bastante infames en el pasado, por ejemplo, la vulnerabilidad a ataques de pass-the-hash o MITM en conexiones no encriptadas. Probablemente todos recordamos desactivar Asistencia remota y eliminando las excepciones de puertos asociadas en los firewalls como una de las primeras cosas que hicimos al instalar Windows. Pero los riesgos involucrados en el uso de un cliente RDP no parecen tan obvios. Los adversarios pueden conectarse a un sistema remoto a través de RDP/RDS para expandir el acceso si el servicio está habilitado y permite el acceso a cuentas con credenciales conocidas. Es probable que los adversarios utilicen técnicas de acceso a credenciales para adquirir credenciales que usarán con RDP. También pueden usar RDP en conjunto con la técnica de características de accesibilidad para persistencia. Aunque no podrá encontrar documentación sobre exploits de autorreplicación (es decir, virus, troyanos o gusanos) que aprovechen Conexiones de Escritorio Remoto a través del uso de los clientes de protocolo RDP actualizados, todavía existen algunos riesgos asociados con la conexión a los servidores RDP:

• Seguimiento de la actividad del usuario y registro de teclas En esencia, un servidor RDP podría registrar todas tus actividades en él, incluyendo los sitios web que visitas, los archivos que descargaste, los documentos a los que accediste y que fueron modificados, las contraseñas que ingresaste para acceder a servicios remotos a través del servidor RDP, básicamente llevar un seguimiento de tu sesión de usuario completa.

• Infección del cliente a través de archivos alojados de forma remota Cualquier archivo que descargues del servidor que aloja una sesión RDP podría haber sido manipulado o estar infectado con malware. Podrías confiar erróneamente en cualquiera de esos archivos, pensando que dado que los descargaste durante tu sesión RDP anterior, no fueron manipulados ni infectados en el ínterin, mientras los transferías a tu cliente RDP y los abrías/ejecutabas/...

• Ataque de intermediario (MITM) Similar a la actividad de seguimiento del usuario, solo que esta vez el atacante está activo en el servidor RDP al que te conectas y está escuchando en tu cliente RDP para la conexión de cliente RDP a servidor RDP, conexiones de servidor RDP a LAN / WAN remota, o posiblemente ambas. Además de poder inspeccionar el contenido de los paquetes de red intercambiados, el hombre en el medio también puede cambiar su contenido. La sesión RDP puede ser cifrada utilizando TLS, lo que efectivamente previene la escucha, pero ese no es necesariamente el caso en cualquier lugar al que te conectes (LAN o WAN remota) utilizando el servidor RDP.

• Ataques de ingeniería social Podrías ser víctima de un ataque de ingeniería social en el que el atacante gana tu confianza bajo falsos pretextos y te engaña para que ingreses una dirección de servidor RDP que crees que se puede confiar en tu cliente RDP al establecer una nueva sesión, pero la dirección que ingresaste es en realidad la elegida por el atacante. El atacante podría alojar un servidor RDP en esa dirección con el único propósito de registrar tus credenciales de inicio de sesión para otro servidor RDP real al que pretendías conectarte.

Protege tu servidor RDS de cualquier persona maliciosa

Probablemente hemos dejado fuera muchas otras posibilidades de abusar de la confianza de los usuarios en el servidor RDP con el que están estableciendo una sesión, pero el usuario asume esta confianza de todos modos, sin ver el peligro potencial de hacerlo. Estos cuatro vectores de ataque de ejemplo deberían ser suficientes para demostrar que hay una clara necesidad de usar RDS-Knight para prevenir ataques de fuerza bruta y proteger sus servidores RDS. La solución de seguridad RDS-Knight consiste en un conjunto robusto e integrado de características de seguridad para proteger contra estos ataques de Escritorio Remoto. Somos la única empresa que ofrece una solución completa con un rendimiento comprobado y una efectividad de seguridad para satisfacer las crecientes demandas de los servidores RDS alojados.