Os ataques a RDP se multiplicaram em 2020
Atualizado: 25 de fev. de 2021
A tentativa de exploração de vulnerabilidades RDP continua sendo uma das maiores ameaças às redes corporativas. Recente estudo da ESET indicou um crescimento em 2020 de 768% em ataques contra o protocolo RDP, chegando a algo próximo a 28 bilhões de tentativas.
O Remote Desktop Protocol (RDP) ou Conexão a Área de Trabalho Remota permite que os usuários tenham acesso a seu computador sem que estejam fisicamente próximos a ele. Este recurso é muito utilizado por equipes de suporte para acessar servidores, mas também é bastante utilizado por usuários para acessarem seus computadores remotamente por ser simples e fácil. Existem clientes para a maioria das versões do Windows, e outros sistemas operacionais como o Linux. A conexão é realizada através da porta TCP 3389.
Além de utilizar os servidores RDP infectados para lançar ataques de negação de serviço (Denial of Service), em muitos casos os atacantes aproveitam para exfiltrar (extrair sem o consentimento do usuário) dados do dispositivo ou da rede e disseminar ransomware.
O documento Firewall Best Practices to Block Ransomware da Sophos apresenta como uma das ações a serem adotadas o bloqueio das portas RDP e, caso o acesso seja necessário, que ele se dê a partir de acessos via VPN e, sempre que possível, com restrição de IPs, mesmo dentro da própria rede.
E como identificar quais os ativos de minha rede estão com a porta RDP aberta?
O Live Discovery do Sophos Intercept X com EDR permite que sejam realizadas pesquisas nos dispositivos para portas abertas, bem como questionamento do tipo “a quanto tempo este dispositivo está em execução” e “quanto de memória está em uso” ou se determinado patch está aplicado. Como as pesquisas podem ser criadas ou editadas de uma forma simples pelo administrador, pode se ter um nível muito interessante de informações sobre o ambiente.
Assista a este vídeo de 2 minutos do Sophos Intecept X com EDR em ação na identificação dos dispositivos com porta RDP aberta; e, como utilizando o Live Response, outra ferramenta do Sophos Intercept X with EDR, o administrador pode se conectar remotamente ao dispositivo e desativar a porta RDP de forma simples e segura a partir do Sophos Central.
Para saber mais sobre Intercept X com EDR visite nosso site https://www.tigatecnologia.com/intercept-x-with-edr ou entre em contato com nosso time.