I sistemi RDS e TSE sono da tempo obiettivi preferiti degli hacker perché hanno accesso a informazioni preziose e sono relativamente facili da sfruttare. Un attacco riuscito può comportare una serie di conseguenze devastanti, tra cui perdite finanziarie, danni alla reputazione del marchio e perdita della fiducia dei clienti. La maggior parte delle organizzazioni non si riprende da una violazione della sicurezza di grande entità, rendendo assolutamente fondamentale proteggere i tuoi utenti e clienti dalle minacce che prendono di mira le applicazioni e i file dei sistemi dei server RDS.

Le connessioni remote sono obiettivi facili per gli attacchi informatici

Il desktop remoto è una funzionalità comune nei sistemi operativi. Consente a un utente di accedere a una sessione interattiva con un'interfaccia utente grafica su un sistema remoto. Microsoft si riferisce alla sua implementazione del Protocollo Desktop Remoto (RDP) come Servizi Desktop Remoto (RDS). Sarebbe abbastanza ragionevole assumere che la maggior parte dei rischi di sicurezza sarebbe assunta eseguendo un RDS server e ci sono stati alcuni exploit piuttosto infami in passato, ad esempio la vulnerabilità al pass-the-hash o agli attacchi MITM su connessioni non crittografate. Probabilmente ricordiamo ancora tutti di disabilitare Assistenza remota e rimuovendo le eccezioni di porta associate nei firewall come una delle prime cose che abbiamo fatto dopo aver installato Windows. Ma i rischi coinvolti nell'utilizzo di un client RDP non sembrano così ovvi. Gli avversari possono connettersi a un sistema remoto tramite RDP/RDS per espandere l'accesso se il servizio è abilitato e consente l'accesso a account con credenziali note. Gli avversari probabilmente utilizzeranno tecniche di Accesso alle Credenziali per acquisire credenziali da utilizzare con RDP. Possono anche utilizzare RDP in combinazione con la tecnica delle Funzionalità di Accessibilità per la Persistenza. Anche se non sarai in grado di trovare documentazione su exploit auto-propaganti (cioè virus, trojan o worm) che sfruttano Connessioni Desktop Remoto attraverso l'uso dei client del protocollo RDP aggiornato, ci sono ancora alcuni rischi associati alla connessione ai server RDP:

• Tracciamento dell'attività degli utenti e registrazione dei tasti In sostanza, un server RDP potrebbe registrare tutte le tue attività su di esso, inclusi i siti web che visiti, i file che hai scaricato, i documenti a cui hai avuto accesso e che sono stati modificati, le password che hai inserito per accedere ai servizi remoti tramite il server RDP, fondamentalmente tenere traccia della tua sessione utente completa.

• Infezione del cliente attraverso file ospitati remotamente Qualsiasi file scaricato dal server che ospita una sessione RDP potrebbe essere manomesso o infettato da malware. Potresti fare affidamento in modo errato su uno di quei file, pensando che poiché li hai scaricati durante la tua precedente sessione RDP, non siano stati manomessi o infettati nel frattempo, mentre li trasferivi al tuo client RDP e li aprivi/eseguivi/...

• Attacco man-in-the-middle (MITM) Simile al tracciamento dell'attività dell'utente, solo che questa volta l'attaccante è attivo sul server RDP a cui ti connetti e sta ascoltando la tua connessione client RDP a server RDP, connessioni da server RDP a LAN / WAN remota, o possibilmente entrambe. Oltre ad essere in grado di ispezionare i contenuti dei pacchetti di rete scambiati, l'uomo nel mezzo è anche in grado di modificarne i contenuti. La sessione RDP può essere crittografata utilizzando TLS, prevenendo efficacemente l'intercettazione, ma non è necessariamente così ovunque ti connetti (LAN o WAN remota) utilizzando il server RDP.

• Attacchi di ingegneria sociale Potresti essere vittima di un attacco di ingegneria sociale in cui l'attaccante guadagna la tua fiducia sotto false pretese e ti inganna facendoti inserire un indirizzo di server RDP che credi possa essere affidabile nel tuo client RDP mentre stabilisci una nuova sessione, ma l'indirizzo che hai inserito è in realtà scelto dall'attaccante. L'attaccante potrebbe ospitare un server RDP su quell'indirizzo con l'unico scopo di registrare le tue credenziali di accesso per un altro server RDP reale a cui intendevi connetterti.

Proteggi il tuo server RDS da qualsiasi persona malintenzionata

Probabilmente abbiamo trascurato molte altre possibilità di abusare della fiducia degli utenti sul server RDP con cui stanno stabilendo una sessione, ma l'utente assume comunque questa fiducia, non riuscendo a vedere il potenziale pericolo nel farlo. Questi quattro esempi di vettori di attacco dovrebbero essere sufficienti per dimostrare che c'è un chiaro bisogno di utilizzare RDS-Knight per prevenire attacchi di forza bruta e proteggere i tuoi server RDS. La soluzione RDS-Knight Security consiste in un insieme robusto e integrato di funzionalità di sicurezza per proteggere contro questi attacchi di Remote Desktop. Siamo l'unica azienda che offre una soluzione completa con prestazioni comprovate ed efficacia della sicurezza per soddisfare le crescenti esigenze dei server RDS ospitati.