RDS e sistemas TSE há muito tempo são alvos favoritos de hackers porque têm acesso a informações valiosas e são relativamente fáceis de explorar. Um ataque bem-sucedido pode resultar em uma variedade de consequências devastadoras, incluindo perda financeira, danos à reputação da marca e perda de confiança dos clientes. A maioria das organizações não se recupera de uma violação de segurança significativa, tornando absolutamente crítico proteger seus usuários e clientes de ameaças que visam aplicativos e sistemas de arquivos do servidor RDS.

Conexões Remotas São Alvos Fáceis Para Ataques Cibernéticos

O acesso remoto é um recurso comum em sistemas operacionais. Ele permite que um usuário faça login em uma sessão interativa com uma interface gráfica em um sistema remoto. A Microsoft se refere à sua implementação do Protocolo de Desktop Remoto (RDP) como Serviços de Desktop Remoto (RDS). Seria razoável supor que a maioria dos riscos de segurança seria assumida ao executar um RDS server e houve alguns exploits bastante infames no passado, por exemplo, vulnerabilidade a ataques pass-the-hash ou MITM em conexões não criptografadas. Provavelmente ainda nos lembramos de desativar Assistência Remota e removendo as exceções de porta associadas em firewalls como uma das primeiras coisas que fizemos ao instalar o Windows. Mas os riscos envolvidos no uso de um cliente RDP não parecem tão autoevidentes. Os adversários podem se conectar a um sistema remoto via RDP/RDS para expandir o acesso se o serviço estiver habilitado e permitir o acesso a contas com credenciais conhecidas. Os adversários provavelmente usarão técnicas de Acesso a Credenciais para adquirir credenciais a serem usadas com RDP. Eles também podem usar RDP em conjunto com a técnica de Recursos de Acessibilidade para Persistência. Enquanto você não conseguirá encontrar documentação sobre exploits de auto-replicação (ou seja, vírus, trojans ou worms) que aproveitam Conexões de Área de Trabalho Remota por meio do uso dos clientes de protocolo RDP atualizado, ainda existem alguns riscos envolvidos na conexão com servidores RDP:

• Rastreamento de atividade do usuário e registro de teclas Em essência, um servidor RDP poderia registrar todas as suas atividades nele, incluindo os sites que você acessou, os arquivos que você baixou, os documentos que você acessou e foram alterados, as senhas que você digitou para acessar serviços remotos através do servidor RDP, basicamente mantendo um registro de toda a sua sessão de usuário.

• Infecção do cliente através de arquivos hospedados remotamente Quaisquer arquivos que você baixar do servidor que hospeda uma sessão RDP podem ser adulterados ou infectados com malware. Você pode confiar falsamente em qualquer um desses arquivos, pensando que, como os baixou durante sua sessão RDP anterior, eles não foram adulterados ou infectados nesse meio tempo, enquanto os transferia para seu cliente RDP e abria/executava/...

• Ataque de homem no meio (MITM) Semelhante ao rastreamento de atividade do usuário, apenas desta vez o atacante está ativo no servidor RDP ao qual você se conecta e está ouvindo sua conexão de cliente RDP para servidor RDP, conexões de servidor RDP para LAN / WAN remota, ou possivelmente ambos. Além de poder inspecionar o conteúdo dos pacotes de rede trocados, o homem no meio também pode alterar seu conteúdo. A sessão RDP pode ser criptografada usando TLS, efetivamente impedindo a escuta, mas isso não é necessariamente o caso em qualquer lugar que você se conecte (LAN ou WAN remota) usando o servidor RDP.

• Ataques de engenharia social Você pode ser uma vítima de um ataque de engenharia social, onde o atacante ganha sua confiança sob falsos pretextos e o engana para que você insira um endereço de servidor RDP que você acredita ser confiável em seu cliente RDP ao estabelecer uma nova sessão, mas o endereço que você inseriu é, na verdade, uma escolha do atacante. O atacante pode hospedar um servidor RDP nesse endereço com o único propósito de gravar suas credenciais de login para outro servidor RDP real ao qual você pretendia se conectar.

Proteja seu servidor RDS de qualquer pessoa maliciosa

Provavelmente deixamos de fora muitas outras possibilidades de abusar da confiança dos usuários no servidor RDP com o qual estão estabelecendo uma sessão, mas o usuário assume essa confiança de qualquer maneira, não percebendo o perigo potencial em fazê-lo. Esses quatro vetores de ataque de exemplo devem ser suficientes para demonstrar que há uma necessidade clara de usar RDS-Knight para prevenir ataques de força bruta e proteger seus servidores RDS. A solução de segurança RDS-Knight consiste em um conjunto robusto e integrado de recursos de segurança para proteger contra esses ataques de Remote Desktop. Somos a única empresa que oferece uma solução completa com desempenho comprovado e eficácia em segurança para atender às crescentes demandas de servidores RDS hospedados.