Tem o RDP ativo no Windows? Se não usa, desative tal funcionalidade.

RDP é a abreviatura de Remote Desktop Protocol, uma funcionalidade que permite que um computador se ligue a outro computador através de uma rede para usá-lo de forma remota. A partir dessa ligação, uma pessoa pode abrir pastas, fazer o download e upload de ficheiros e executar programas, como se estivesse a usar o teclado e o monitor ligados a esse servidor.

Mas atenção aos ataques via RDP! ESET alerta para o aumento deste tipo de ataques.




A ESET divulgou o seu Threat Report correspondente ao quarto trimestre de 2020, resumindo as principais estatísticas recolhidas pelos sistemas de deteção da especialista em cibersegurança. A transição rumo ao trabalho à distância, a partir de casa, por causa da pandemia, assinalou o crescimento de ataques Remote Desktop Protocol (RDP), embora a um ritmo inferior quando comparado com os anteriores trimestres de 2020.

Roman Kováč, Chief Research Officer da ESET, explicou que…

A segurança RDP não deve ser menosprezada em especial devido a ataques ransomware, que são habitualmente usados em exploits RDP” (…) com as suas táticas cada vez mais agressivas, ele representa um grande risco para os setores privado e público

O que fazem os hackers com o RDP?

Uma vez que os atacantes conhecem o tipo de servidor e o que controlam podem começar a realizar ações maliciosas. Algumas das atividades maliciosas mais comuns que temos visto incluem:
Apagar ficheiros de registo que denunciem a sua presença no sistema;
Desabilitar as cópias de segurança programadas e as shadow copies;
Desabilitar o software de segurança ou configurar as suas exclusões (o que apenas é permitido a administradores);
Descarregar e instalar vários programas no servidor;
Apagar ou subscrever cópias de segurança antigas, se estiverem acessíveis.




Para se proteger de ataques RDP:

1. Desative ligações externas a máquinas locais na porta 3389 (TCP / UDP) no firewall de perímetro. (1)
2. Teste e implemente patches para a vulnerabilidade CVE-2019-0708 (BlueKeep) e ative NLA (Network Level Authentication) o quanto antes.
3. Para todas as contas que possam iniciar sessão através de RDP, devem ser consideradas passwords complexas (é obrigatória uma password grande, que possua no mínimo mais de 15 caracteres sem palavras relacionadas com a empresa, nomes de produtos ou utilizadores).
4. Instale autenticação de dois fatores (2FA) e, no mínimo, exija-a em todas as contas que possam iniciar sessão através de RDP.
5. Instale uma VPN para gerir todas as ligações RDP de fora da sua rede local.
6. Proteja com password o software de segurança para endpoint utilizando uma password segura não relacionada com contas administrativas e de serviço.
7. Ativar o bloqueio de exploits no software de segurança para endpoint.
8. Isole qualquer computador inseguro o qual seja acedido a partir da internet utilizando RDP.
9. Substitua os computadores inseguros.
10. Considere estabelecer o bloqueio de geoIP na gateway de ligação VPN.
(1) Por omissão, o RDP opera no porto lógico 3389. Se alterou esse porto para um valor diferente, então essa é esse porque que deve ser bloqueada.
Deve verificar se o seu software de segurança deteta a vulnerabilidade BlueKeep. Esta vulnerabilidade é detetada como RDP/Exploit.CVE-2019-0708 pelo módulo Network Attack Protection da ESET, que é uma extensão da tecnologia de firewall da ESET presente nos programas de proteção de endpoints da ESET para empresas. Se estiver a utilizar software de segurança de outro fornecedor, consulte-os para saber se deteta Bluekeep e como.
Tenha em consideração que estes passos representam apenas o início do que pode fazer para se proteger contra os ataques RDP. Embora a deteção de ataques seja um bom começo, não substitui a importância do patch ou substituição dos computadores vulneráveis.

Outra tendência observada no quarto trimestre foi um aumento de ameaças de email relacionados com a pandemia, especialmente aqueles a respeito dos programas de vacinação de fim de ano. As vacinações ofereceram a cibercriminosos uma oportunidade de expandir os seus portfolios de engodos usados, uma tendência que se espera que continue no decorrer de 2021.

A história em destaque neste Threat Report lembra os eventos de outubro de 2020, quando a ESET fez parte de uma campanha de disrupção global que teve como alvo o TrickBot, um dos maiores e mais duradouros botnets. Este esforço coordenado permitiu derrubar 94% dos servidores do TrickBot numa só semana.

O Threat Report do quarto trimestre de 2020 da ESET também analisa as mais importantes descobertas e realizações dos seus investigadores, incluindo o desvendar de um até então desconhecido grupo APT que visava os Balcãs e a Europa Oriental designado XDSpy, e um número impressionante de ataques supply-chain, desde o ataque Lazarus na Coreia do Sul, até ao Operation SignSight no Vietname.

Finalmente, a ESET chama a atenção neste relatório para as numerosas palestras levadas a cabo pelos seus especialistas no quarto trimestre, introduz palestras planeadas para a conferência RSA em maio de 2021, e oferece uma visão geral das suas contribuições para a base de conhecimentos MITRE ATT&CK.
Bom sem grandes apresentações, o meu NICK é UNDERTHAKER por nome mais curto é UNDER.

Comentários

Enviar um comentário

Mensagens populares deste blogue

APPSPORTABLE - Nova Versão

Imagem
Nova versão já disponível, ao qual pode realizar o download e fazer a atualização caso tenha a versão anterior instalada. A versão: 2.4.0 clique aqui . Este post foi atualizado a 23/09/2022.
Ler mais

Como terminar rapidamente a sessão de outro utilizador no Windows 10.

Imagem
As possibilidades de utilização do Windows 10 são enormes. Seja qual o cenário traçado e este sistema operativo da Microsoft consegue estar à altura e ser capaz de dar aos utilizadores o que estes necessitam. Este está recheado de funções e ferramentas que dispensam quaisquer outra ajuda adicional. Para mostrar um exemplo desta situação, revelamos mais uma dica. Hoje explicamos como podem terminar rapidamente a sessão de outro utilizador no Windows 10. Terminar a sessão de outro utilizador: O Windows 10 é um sistema que pode ser usado por vários utilizadores. Estes não têm acesso em simultâneo, mas conseguem alternar entre si este acesso, mantendo as aplicações e os serviços a correr, ainda que hibernados e em espera. Assim, estas sessões ficam abertas e prontas a serem usadas, consumindo recursos e outros elementos, essenciais. Para dar o controlo sobre o que o Windows 10 está a realizar, este sistema tem a capacidade de terminar a sessão de outro utilizador no
Ler mais

WingetUI: Atualizar os seus programas no Windows está mais fácil.

Imagem
Ainda que seja um sistema que tem uma dependência muito grande da sua interface, o Windows tem recebido da Microsoft alguma atenção especial. Esta tem conseguido automatizar os processos de atualização das apps e a sua loja ajuda todos de forma única. Os programadores têm aproveitado estas ferramentas e o WingetUI é a prova disso. A última atualização vem melhorar ainda mais o que oferece. Pode não ser conhecido por muitos, mas o Winget é uma das muitas pérolas que a Microsoft tem para o Windows. Este pequeno software permite aos administradores e aos utilizadores atualizarem as suas apps de forma silenciosa e de fontes confiáveis. Tudo se processo no Terminal, dispensando qualquer interface. Claro que para muitos, habituados a interagir assim com o Windows, interface é indispensável. É assim que surge o WingetUI, para dar uma cara a esta proposta da Microsoft e facilitando o processo. Claro que evoluiu e dá agora acesso a muitas mais fontes de apps e de informação. Com a última atuali
Ler mais