Os atacantes muitas vezes ganham acesso aos sistemas por acesso remoto. Em um exemplo recente, os atacantes tomaram controle de um software em uma estação de tratamento de água nos Estados Unidos e mudaram a quantidade de agentes químicos na entrada do sistema. Os computadores usados para controlar o sistema de tratamento de água tinham máquinas com Windows 7 sem patches de segurança e usando o TeamViewer. A mudança foi rapidamente descoberta e revertida, mas o incidente serviu para mostrar a fragilidade desse tipo de arranjo.

Neste cenário de trabalho remoto, onde o acesso remoto é mandatório, o monitoramento de acesso e a garantia da proteção desse acesso remoto também se tornam mandatórios. O FBI recomenda os seguintes passos para proteger o acesso remoto:

  • Usar autenticação de múltiplos fatores
  • Usar senhas fortes para proteger as credenciais de Remote Desktop Protocol (RDP)
  • Garantir que antivírus, filtros de spam e firewalls estejam atualizados e devidamente configurados
  • Auditar configurações de rede e isolar sistemas de computadores que não podem ser atualizados
  • Auditar sua rede em busca de sistemas usando RDP, fechar portas não usadas de RDP, aplicar MFA onde for possível, manter log de tentativas de login RDP
  • Auditar logs para protocolos de conexões remotas
  • Treinar usuários para identificar e reportar tentativas de engenharia social
  • Identificar e suspender acesso de usuários que estejam exibindo atividade pouco usual
  • Manter os softwares atualizados

A seguir, algumas dicas para configurar a rede do Windows de forma a melhor seguir os conselhos.

 

Habilite o Remote Desktop auditing

Auditar as conexões do Windows Remote Desktop é relativamente simples, mas fica escondido em um arquivo de log do sistema. Siga o passo a passo:

  • Applications and Services Logs;
  • Microsoft
  • Windows
  • Terminal-Services-RemoteConnectionMaanger;
  • Operational.

 

Seja cuidadoso com políticas de trancamento de contas

Historicamente recomenda-se que administradores de sistema estabeleçam políticas de trancamento de contas para bloquear atacantes que tentem executar brute-force em uma conta. Contudo, isso cria uma situação onde os atacantes podem disparar um ataque de DDOS. Também cria frustração nos usuários finais e pode causar problemas para os administradores.

 

Entenda como os atacantes encontram implementações expostas de Remote Desktop

Os criminosos podem usar mecanismos de busca para identificar onde instalações de Remote Desktop web estão expostas. Páginas de acesso muitas vezes possuem RDWeb na URL. Os atacantes podem procurar por mensagens padrão de erro no HTML, como “allintext: Unable to display RD Web Access” e encontrar muitos servidores expostos. O mecanismo de busca Shodan, conhecido por encontrar sistemas de automação expostos, também permite aos atacantes buscar por RDP.

 

Fique atento com vulnerabilidades e ferramentas terceiras de acesso remoto

Softwares terceiros de acesso remoto também podem tornar sua rede exposta a ataques. Um relatório recente da Malwarebytes mostrou que os atacantes estão mirando mais em pontos de entrada remotos devido ao cenário de trabalho remoto. No último ano, pesquisadores descobriram 16 grandes vulnerabilidades e 25 vulnerabilidades gerais em ferramentas de acesso remoto.

Pesquisadores recomendam desabilitar a função de copiar e colar em uma conexão de RDP, já que isso pode levar a ações maliciosas. Se um client usa o copiar e colar sobre uma conexão RDP, um servidor malicioso pode dropar arquivos arbitrários no local de destino, limitado apenas pela permissão local. Por exemplo, se dropam scripts maliciosos na aba de início do client, depois de um reboot eles vão ser executados e podem dar acesso total ao atacante.

Essa era de trabalho remoto requer uma abordagem com mais nuances para o risco. Nem todo mundo precisa de acesso ao clipboard, mas aqueles que precisam terão uma inconveniência severa se tiverem acesso bloqueado.

 

Habilite o MFA

Por fim, sempre adicione autenticação de múltiplos fatores onde for possível. Requerer dos usuários mais do que o login e senha para acessar os recursos vai reduzir o risco de ransomware e outros ataques consideravelmente.