Os invasores geralmente obtêm acesso aos seus sistemas por meio de acesso remoto. Como um exemplo recente, os invasores assumiram o controle do software em uma instalação de tratamento de água nos EUA e alteraram a quantidade de produtos químicos que entravam no sistema. Os computadores usados para controlar o sistema de água eram máquinas Windows 7 sem patch e usando o software de compartilhamento de desktop TeamViewer. A mudança foi notada e revertida rapidamente, mas o incidente ressaltou o potencial de causar danos remotamente em outros locais.
Nesta era de trabalho remoto, o acesso remoto é obrigatório, assim como monitorar o acesso e garantir que você esteja protegendo o acesso remoto. O FBI recomenda as seguintes etapas para proteger melhor o acesso remoto:
Veja como configurar sua rede Windows para seguir melhor este conselho.
Habilitar auditoria de Área de Trabalho Remota
A auditoria das conexões da Área de Trabalho Remota do Windows é relativamente fácil, mas está enterrada em um arquivo de log em seu sistema. Siga este caminho na ordem:
Use ferramentas para analisar melhor os arquivos de log
Fazer correlações em seus servidores pode ser demorado e difícil de revisar. No entanto, algumas ferramentas podem ajudar, como o visualizador de log RDPSoft RDS, que permite revisar e pesquisar arquivos de log em seus sistemas.
Eu recomendo seguir as orientações fornecidas por Andy Milford para adicionar o Sysmon às suas implantações de área de trabalho remota para que você possa revisar e verificar melhor os ataques. Você pode usar vários arquivos de configuração para ajustar a configuração do Sysmon dependendo de suas necessidades. As orientações recomendadas encontradas no Github e em outros lugares fornecem uma base sólida para monitorar eventos. A configuração Sysmon fornecida pelo Olafhartong mapeia os eventos para as sequências MITRE ATT&CK para melhor direcionar os eventos onde ocorrerão os ataques.
Tenha cuidado com as políticas de bloqueio de conta
Andy ressalta que, historicamente, recomendamos que os administradores de sistema configurem políticas de bloqueio de conta para bloquear invasores que tentam forçar uma conta. No entanto, isso cria uma situação em que os invasores podem desencadear um ataque de negação de serviço. Também frustra os usuários finais e causa problemas para os administradores. Assim, ele não recomenda habilitar bloqueios de conta. Com os invasores coletando nomes de usuário e senhas, os invasores podem simplesmente fazer login e não forçar uma conta à força bruta.
Adicione o Remote Desktop Commander às suas implantações de servidor de área de trabalho remota
O Remote Desktop Commander permite rastrear via localização geográfica de onde seus usuários e invasores estão tentando fazer login. O software coleta e correlaciona automaticamente os principais eventos de arquivos de log de eventos em servidores Host de Sessão e servidores Gateway de Área de Trabalho Remota e oferece uma visualização gráfica de quem está se conectando à sua rede.
Ao revisar minhas próprias conexões de Área de Trabalho Remota, você pode ver que as conexões de celular geralmente não são mostradas como acessando a partir da cidade em que o usuário está localizado. Em vez disso, pode mostrar um local regional para o fornecedor. Talvez seja necessário fazer correlações adicionais para determinar se os usuários estão acessando remotamente de forma adequada.
Susan Bradley
O Remote Desktop Commander mostra a localização das pessoas que fazem login
Entenda como os invasores encontram implantações expostas da Área de Trabalho Remota
Os invasores também podem usar mecanismos de pesquisa para identificar onde as implantações da Web da Área de Trabalho Remota estão expostas. As páginas de acesso geralmente têm a frase RDWeb na URL. Como Andy aponta em “RDPwned: um guia para proteger os serviços de área de trabalho remota da Microsoft”, os invasores podem pesquisar mensagens de erro padrão incorporadas no HTML, como “allintext: não é possível exibir o acesso à Web RD” e atingir muitos servidores RDWeb expostos . O mecanismo de pesquisa Shodan também permite que os invasores pesquisem RDP.
Cuidado com vulnerabilidades em ferramentas de acesso remoto de terceiros
As ferramentas de acesso remoto de outros fornecedores também podem expor seu sistema a ataques. A Malwarebytes postou recentemente que os invasores estão se concentrando mais em pontos de entrada remotos devido ao trabalho remoto causado pela pandemia. Há um ano, os pesquisadores da Check Point encontraram 16 vulnerabilidades principais e 25 vulnerabilidades gerais de segurança em ferramentas de acesso remoto.
Os pesquisadores da Check Point recomendam desabilitar o recurso de copiar e colar em uma conexão RDP, pois isso pode levar a ações maliciosas. Como eles observam “se um cliente usa o recurso Copiar e Colar em uma conexão RDP, um servidor RDP malicioso pode soltar arquivos arbitrários de forma transparente para locais de arquivos arbitrários no computador do cliente, limitado apenas pelas permissões do cliente. Por exemplo, podemos solte scripts maliciosos na pasta de inicialização do cliente e, após uma reinicialização, eles serão executados em seu computador, nos dando controle total.”
Esta era de trabalho em casa exige uma abordagem mais sutil do risco. Nem todo mundo precisa de acesso à área de transferência, mas aqueles que precisam ficariam seriamente incomodados se fossem bloqueados. Combata esse risco com a educação do usuário final para garantir que eles não sejam alvo de ataques de phishing.
Ativar autenticação de dois fatores
Por fim, sempre adicione autenticação de dois fatores (2FA) sempre que puder. Eu uso o Duo para adicionar 2FA às minhas necessidades de área de trabalho remota. Exigir que os usuários tenham algo além de seu nome de usuário e senha para acessar seus recursos reduzirá o risco de ransomware e outros ataques.
