Siga as diretrizes básicas de segurança da Microsoft para o Remote Desktop Protocol e você eliminará os hackers que tentarem explorá-lo
Muitas pessoas têm reclamado da Microsoft e do protocolo RDP (Remote Desktop Protocol). Geralmente, as reclamações são de grupos falando que uma variante de ransomware ou malware minerador de criptomoeda (cryptominers) comprometeu seu ambiente por meio do RDP. As reclamações são frequentemente seguidas por apelas para que todos deixem o Windows e como a “segurança da Microsoft é ruim!”.
Porém, eles estão culpando o responsável errado. Quem está comprometido por causa do RDP, o problema provavelmente é a pessoa ou a organização. Não é necessário colocar uma VPN em torno do RDP para protegê-lo. O usuário também não precisa mudar as portas de rede padrão, basta usar as configurações de segurança padrão ou implementar outras defesas de segurança que já deveriam ser usadas.
Ransomware e RDP
Existem muitos programas de ransomware e cryptominers que tentam adivinhar a força bruta contra os serviços RDP acessíveis. Tantas empresas tiveram seus serviços RDP comprometidos que o FBI e o Departamento de Segurança Interna (DHS) dos EUA emitiram alertas.
Mas não é como se os programas de malware estivessem realizando um ataque de zero day contra alguma vulnerabilidade não corrigida. Eles estão simplesmente fazendo um mínimo de tentativas para encontrar senhas fáceis de adivinhar em contas de acesso remoto, a maioria das quais parece ter acesso em nível de administrador.
Se o usuário apenas tomasse os padrões que a Microsoft coloca no lugar, seria muito seguro. Isso ocorre porque, por padrão, a Microsoft só habilita o RDP para membros do grupo de administradores internos (RID 501), que exige uma senha suficientemente longa e complexa o suficiente para impedir a simples adivinhação de senha de ataques RDP, especialmente quando associada a um bloqueio de conta. Quando o malware de RDP invade um computador gerenciado, isso significa que alguém permitiu que a conta acessível por RDP tivesse uma senha muito fraca e não tivesse o bloqueio de conta ativado.
Práticas recomendadas para proteger o RDP
Ao seguir qualquer uma das melhores práticas recomendadas pela Microsoft para a segurança do RDP, o usuário estará duplamente protegido. Por exemplo, a Microsoft há muito tempo recomenda que o nome do administrador padrão seja renomeado e fornece uma opção de política de grupo para permitir isso. A empresa também recomenda ativar a opção Logon interativo: não exibir o último nome de usuário. Se habilitado, o programa de malware de adivinhação de senha não teria ideia do nome de usuário para começar a adivinhação bem-sucedida e, mesmo se o fizesse, seria facilmente impedido de adivinhar por bloqueio de conta.
Além disso, a Microsoft recomenda impor a distribuição e o uso de certificados digitais confiáveis a qualquer computador que tente fazer logon para usar o RDP. Se o dispositivo remoto não tiver o certificado digital confiável instalado, ele nem poderá começar a adivinhar a senha de logon. Os melhores profissionais de segurança de computadores até exigem a autenticação multifator (MFA), que o RDP suporta, como credenciais de autenticação. A Microsoft vem recomendando e dando suporte a essas práticas recomendadas há mais de uma década.
Quando o RDP pode realmente ser um problema
Há momentos em que ter um serviço de acesso remoto pode realmente adicionar vulnerabilidades ao sistema que não pode se defender usando os padrões ou melhores práticas. Um ótimo exemplo disso seria quando o RDP (ou um serviço dependente dele) tem uma vulnerabilidade não corrigida conhecida. Isso acontece, mas é bastante raro. Na verdade, só aconteceu duas ou três vezes na existência de várias décadas do RDP, e apareceu pela primeira vez no Windows NT 4.0.
A última vulnerabilidade crítica no RDP foi em 2012. Era explorável remotamente e uma conexão mal-intencionada poderia assumir o logon remoto sem qualquer autenticação bem-sucedida. Os administradores corrigiram esse problema muito rápido – mais rápido do que os hackers e o malware poderiam tirar proveito disso. Desde então, não houve uma única vulnerabilidade crítica que pudesse tirar proveito do RDP.
Vamos comparar isso com o OpenSSH (basicamente o concorrente de código aberto do RDP). Tem 93 vulnerabilidades desde 1999, incluindo nove nos últimos dois anos.
É preciso fazer mais para proteger o RDP?
Não é difícil proteger as conexões RDP publicamente acessíveis com VPNs adicionais, alterando as portas TCP/IP padrão e outros métodos de proteção. A recomendação de práticas recomendadas da Microsoft de exigir certificados digitais é configurar uma VPN precursora, mas não é necessário fazer isso.
Se o usuário garantir que possui políticas de senhas básicas e aceitáveis, juntamente com o bloqueio de conta ativado, não precisará das proteções adicionais.
Se o ransomware ou um hacker explora com sucesso um sistema ou rede por causa do RDP, alguém está fazendo muitas coisas inseguras e arriscadas que são indiferentes a problemas muito além do RDP.
