I sistemi RDS e TSE sono da tempo obiettivi preferiti degli hacker perché hanno accesso a informazioni preziose e sono relativamente facili da sfruttare. Un attacco riuscito può comportare una serie di conseguenze devastanti, tra cui perdite finanziarie, danni alla reputazione del marchio e perdita della fiducia dei clienti. La maggior parte delle organizzazioni non si riprende da una violazione della sicurezza di grande entità, rendendo assolutamente fondamentale proteggere i tuoi utenti e clienti dalle minacce che prendono di mira le applicazioni e i file dei server RDS.
Le connessioni remote sono obiettivi facili per gli attacchi informatici
Il desktop remoto è una funzionalità comune nei sistemi operativi. Consente a un utente di accedere a una sessione interattiva con un'interfaccia grafica su un sistema remoto. Microsoft si riferisce alla sua implementazione del Protocollo Desktop Remoto (RDP) come Servizi Desktop Remoto (RDS). Sarebbe abbastanza ragionevole presumere che la maggior parte dei rischi per la sicurezza sarebbe assunta eseguendo un
server RDS
, e ci sono stati alcuni exploit piuttosto infami in passato, ad esempio la vulnerabilità agli attacchi pass-the-hash o MITM su connessioni non crittografate. Probabilmente ricordiamo ancora tutti di disabilitare
Assistenza Remota
e rimuovendo le eccezioni di porta associate nei firewall come una delle prime cose che abbiamo fatto dopo aver installato Windows. Ma i rischi associati all'uso di un
client RDP
non sembrano così ovvi. Gli avversari possono connettersi a un sistema remoto tramite RDP/RDS per espandere l'accesso se il servizio è abilitato e consente l'accesso a account con credenziali note. Gli avversari probabilmente utilizzeranno tecniche di Accesso alle Credenziali per acquisire credenziali da utilizzare con RDP. Possono anche utilizzare RDP in combinazione con la tecnica delle Funzionalità di Accessibilità per la Persistenza. Anche se non sarai in grado di trovare documentazione su exploit auto-propaganti (cioè virus, trojan o worm) che sfruttano
Connessioni Desktop Remoto
attraverso l'uso dei client del protocollo RDP aggiornato, ci sono ancora alcuni rischi associati alla connessione ai server RDP:
-
-
Tracciamento dell'attività dell'utente e registrazione dei tasti
In sostanza, un server RDP potrebbe registrare tutte le tue attività su di esso, inclusi i siti web che visiti, i file che hai scaricato, i documenti a cui hai avuto accesso e che sono stati modificati, le password che hai inserito per accedere ai servizi remoti tramite il server RDP, fondamentalmente tenere traccia dell'intera sessione utente.
-
-
Infezione del cliente attraverso file ospitati remotamente
Qualsiasi file che scarichi dal server che ospita una sessione RDP potrebbe essere manomesso o infettato da malware. Potresti fare affidamento in modo errato su uno di quei file, pensando che poiché li hai scaricati durante la tua precedente sessione RDP, non siano stati manomessi o infettati nel frattempo, mentre li trasferivi al tuo client RDP e li aprivi/eseguivi/...
-
-
Attacco man-in-the-middle (MITM)
Simile al tracciamento dell'attività dell'utente, solo che questa volta l'attaccante è attivo sul server RDP a cui ti connetti e sta ascoltando la tua connessione client RDP a server RDP, connessioni da server RDP a LAN / WAN remota, o possibilmente entrambe. Oltre ad essere in grado di ispezionare i contenuti dei pacchetti di rete scambiati, l'uomo nel mezzo è anche in grado di modificarne i contenuti. La sessione RDP può essere crittografata utilizzando TLS, prevenendo efficacemente l'intercettazione, ma non è necessariamente così ovunque ti connetti (LAN o WAN remota) utilizzando il server RDP.
-
Attacchi di ingegneria sociale
Potresti essere vittima di un attacco di ingegneria sociale in cui l'attaccante guadagna la tua fiducia sotto false pretese e ti inganna facendoti inserire un indirizzo di server RDP che credi possa essere affidabile nel tuo client RDP mentre stabilisci una nuova sessione, ma l'indirizzo che hai inserito è in realtà scelto dall'attaccante. L'attaccante potrebbe ospitare un server RDP su quell'indirizzo con l'unico scopo di registrare le tue credenziali di accesso per un altro server RDP reale a cui intendevi connetterti.
Proteggi il tuo server RDS da qualsiasi persona malintenzionata
Probabilmente abbiamo trascurato molte altre possibilità di abusare della fiducia degli utenti sul server RDP con cui stanno stabilendo una sessione, ma l'utente assume comunque questa fiducia, non riuscendo a vedere il potenziale pericolo nel farlo. Questi quattro esempi di vettori di attacco dovrebbero essere sufficienti per dimostrare che c'è un chiaro bisogno di utilizzare
RDS-Knight
per prevenire attacchi di forza bruta e proteggere i tuoi server RDS.
La soluzione di sicurezza RDS-Knight consiste in un insieme robusto e integrato di funzionalità di sicurezza per proteggere contro questi attacchi di Remote Desktop.
Siamo l'unica azienda che offre una soluzione completa con prestazioni comprovate ed efficacia della sicurezza per soddisfare le crescenti esigenze dei server RDS ospitati.