I¿Honestamente es tan malo exponer un servidor con RDP a Internet? Para averiguarlo, hicimos precisamente eso.
Para la ciencia, instalamos un servidor, expusimos RDP a Internet y nos alejamos durante 15 días. Cuando regresamos, descubrimos que los intentos de inicio de sesión comenzaron en menos de un minuto desde el momento en que expusimos el puerto. Incluso si está pensando en exponer “temporalmente” un servidor a Internet con RDP para que alguien pueda acceder a él de forma remota, esos intentos de fuerza bruta no deseados aparecen rápidamente.
Profundizando más, compilamos estadísticas sobre los nombres de usuario más utilizados para intentar acceder. Como era de esperar, “administrador” y variantes de esa palabra/título ocuparon los tres primeros lugares. En nuestro sistema expuesto, solo el “administrador” representó 866,862 intentos fallidos de inicio de sesión durante esos 15 días.
| Nombre de usuario | Contar |
| administrador | 866862 |
| administrador | 152289 |
| administrador | 111460 |
| respaldo | 94541 |
| administración | 88367 |
| usuario | 24030 |
| escáner | 18781 |
| escáner | 12455 |
| usuario | 12238 |
| Invitado | 8784 |
Figura 1: Los diez nombres de usuario que se intentaron con mayor frecuencia en ataques de fuerza bruta en nuestro servidor RDP de conejillo de indias durante 15 días; “escaner” y “usuario” son respectivamente “scanner” y “user” en español
Sin duda, la gran cantidad de intentos con ese nombre de cuenta específico no fue sorprendente; En la mayoría de los casos que ha manejado el equipo de Sophos IR en los que el RDP expuesto era el vector de acceso inicial, el atacante logró obtener acceso mediante fuerza bruta en la cuenta de administrador. Peor aún, vemos regularmente que las organizaciones que exponen RDP a Internet a menudo tienen políticas de contraseña deficientes, lo que facilita que los grupos de ransomware accedan por la fuerza bruta a esas cuentas.
Más allá de estos intentos, en total vimos que se intentaron 137.500 nombres de usuario únicos en el transcurso de 15 días, con actividad de escaneo originada en 999 direcciones IP únicas. En total, vimos poco más de 2 millones de intentos fallidos de inicio de sesión en los 15 días. Entonces, para responder a la pregunta original: SÍ. Existe una gran cantidad de actividad de escaneo que busca RDP abierto. Sigue siendo un vector de acceso común. Y definitivamente es peligroso exponer RDP a Internet.
De forma predeterminada, RDP está expuesto en el puerto 3389. ¿Qué sucede cuando está expuesto en un puerto no predeterminado? Lamentablemente, no importa; Los escáneres y los grupos de ransomware aún identifican fácilmente que un puerto RDP está abierto y escuchando, sin importar cuán oscuro sea el número de puerto. Para ilustrar esto, hicimos una búsqueda simple en censys.io, buscando escucha RDP en puertos distintos al 3389.
Figura 2: Como se ve en Censys, “ocultar” el RDP expuesto en un puerto no estándar no es ni remotamente efectivo
Como muestra la imagen, la seguridad a través de la oscuridad no funciona mejor que la seguridad a través de lo efímero (tener el puerto abierto “temporalmente”) en el primer ejemplo. Los intentos de fuerza bruta comenzaron menos de un minuto después de que se abrió el puerto RDP.
Entonces, ¿qué debe hacer un administrador? Para el acceso, existen métodos mucho más seguros que permiten el acceso remoto a un entorno (por ejemplo, una VPN con MFA). (Las recomendaciones para empresas individuales están más allá del alcance de este artículo, pero sepa que existen soluciones). En cuanto a los investigadores, en la siguiente parte de esta serie analizaremos múltiples consultas que pueden mejorar la comprensión de los detalles específicos del ataque.
Protocolo de escritorio remoto: la serie
Parte 1: Protocolo de escritorio remoto: Introducción (publicación, vídeo)
Parte 2: Protocolo de escritorio remoto: RDP expuesto (es peligroso) ([you are here]video)
Parte 3: RDP: Consultas para investigación (publicación, video)
Parte 4: Sesgo de zona horaria RDP (publicación, video)
Parte 5: Ejecutar la consulta RDP externa (publicación, video)
Parte 6: Ejecutar la consulta de inicio de sesión 4624_4625 (publicación, video)
Repositorio de consultas de GitHub: SophosRapidResponse/OSQuery
Repositorio de transcripciones: sophoslabs/video-transcripts
Lista de reproducción de YouTube: Protocolo de escritorio remoto: la serie
Fuente Original Sophos News
