Che cos'è un attacco RDP e come proteggersi da esso?
Dire che la crisi COVID-19 ci ha colti di sorpresa sarebbe l'eufemismo del decennio. Nessuno si aspettava che l'epidemia fosse così grande e quando ci siamo resi conto di quanto fosse grave il problema, un'ondata di terrore ha risuonato in tutti i paesi e continenti. Si scatenò un vero panico e, forse non a caso, i criminali informatici tentarono (e, in molti casi, riuscirono) di trarne vantaggio.
Nel frattempo, le normative sul distanziamento sociale imposte in molti paesi hanno fatto sì che migliaia di aziende mandassero i propri dipendenti a lavorare da casa. Probabilmente non sarai troppo sorpreso di scoprire che anche i criminali informatici hanno provato a sfruttarlo.
Table of Contents
I criminali informatici attaccano RDP mentre il mondo è bloccato in casa
La scorsa settimana, i ricercatori di Kaspersky hanno presentato una serie di grafici che illustrano l'ennesimo cambiamento apportato dalla pandemia di COVID-19.
Riguarda gli attacchi del PSR e quanto siano stati più diffusi dall'inizio del blocco. I numeri differiscono da paese a paese, ma la tendenza è chiara come la luce del giorno: gli attacchi al protocollo RDP sono diventati molto più popolari da quando è iniziata la pandemia di coronavirus.
Questa nuova scoperta non sarà un grande shock per quelli di voi che sanno cos'è il PSR. Chi non lo sa ora può scoprirlo.
Che cos'è il PSR e perché i criminali informatici lo adorano così tanto?
RDP è l'abbreviazione di Remote Desktop Protocol. È un protocollo di comunicazione dell'applicazione che consente a un utente di connettersi a un computer o server Windows remoto e utilizzare l'interfaccia grafica del sistema operativo. È stato sviluppato da Microsoft e, per impostazione predefinita, utilizza la porta 3389. Come avrete intuito, una connessione RDP a un endpoint remoto si verifica dopo aver inserito un set di credenziali di accesso valide.
Il PSR esiste da un po 'di tempo e gli attacchi contro di esso sono vecchi quasi quanto lo sono. Nel corso degli anni, i ricercatori della sicurezza hanno identificato una serie di vulnerabilità e ci sono stati molti strumenti di hacking che sfruttano i punti deboli. Il modo più comune di compromettere il PSR, tuttavia, è con un umile attacco a forza bruta.
Le sgradevoli abitudini di gestione delle password degli utenti riflettono anche sulla sicurezza di RDP. Armati di elenchi di credenziali di accesso semplici e prevedibili, gli hacker possono facilmente compromettere un gran numero di computer e server con RDP in esecuzione. L'attacco potrebbe essere semplice, ma poiché offre ai criminali informatici un accesso più o meno libero all'endpoint compromesso, il danno che potrebbe essere causato da esso è enorme. Per questo motivo, ci sono mercati web oscuri dedicati al trading di credenziali RDP compromesse.
Gli attacchi agli endpoint abilitati per RDP sono diventati più popolari durante la pandemia di COVID-19 per alcuni ovvi motivi. Sebbene i dipendenti venissero mandati a lavorare da casa, dovevano comunque avere accesso alle risorse aziendali attraverso la rete e molte organizzazioni hanno deciso di stabilirlo tramite il protocollo Desktop remoto. Come puoi vedere dalle carte di Kaspersky, i criminali informatici sperano che la configurazione RDP non sia particolarmente sicura in alcuni casi e, sfortunatamente, potrebbero anche avere ragione.
Come già accennato, storicamente, gli amministratori di sistema hanno commesso errori a sinistra, a destra e al centro quando si tratta di configurazione RDP, e questa volta sono stati costretti a creare un ambiente di lavoro per molti utenti in fretta, il che aumenta ulteriormente la probabilità di errori.
Come proteggersi da un attacco del PSR?
Per la maggior parte, gli attacchi a RDP sono semplici tentativi di forza bruta e, come probabilmente saprai, il modo più semplice per proteggerti da qualsiasi attacco di forza bruta è con una password complessa che non viene riutilizzata da nessun'altra parte. RDP rappresenta tuttavia una superficie di attacco più ampia, motivo per cui gli amministratori di sistema potrebbero fare di peggio che considerare anche una o due altre cose.
Assicurarsi che chiunque utilizzi il protocollo abbia aggiornato il proprio software e, se si dispone di una VPN aziendale, abilitare RDP solo tramite esso. Utilizzare l'autenticazione a due fattori, ove possibile, e cercare di non utilizzare la configurazione predefinita del protocollo. Questo potrebbe non fermare necessariamente gli hacker, ma potrebbe rallentarli e spesso è tutto ciò che serve. Ultimo ma non meno importante, se non hai bisogno di RDP, disabilitalo e chiudi la porta 3389.
