Molti fornitori di servizi IT utilizzano una soluzione di supporto desktop remoto per aiutare a gestire i computer dei propri clienti. Le connessioni di supporto remoto vengono spesso effettuate tramite il protocollo desktop remoto (RDP). Tuttavia, gli esperti di sicurezza avvertono che RDP lascia una porta di ascolto aperta sulla macchina di destinazione, che i potenziali aggressori potrebbero sfruttare. La verità è che le vulnerabilità RDP non sono le uniche cose di cui devi preoccuparti. Una protezione con password debole sulla connessione remota può rendere più facile per i criminali informatici entrare nella sessione e ottenere l’accesso a tutto ciò che si trova sul computer di un utente. Inoltre, a volte l’errore umano lascia la porta spalancata affinché i cattivi possano entrare.

Se prendi sul serio la sicurezza informatica dei tuoi clienti, e dovresti assolutamente esserlo se vuoi mantenere la loro attività, allora devi trovare una soluzione di supporto remoto che prenda la sicurezza altrettanto seriamente.

A quale tipo di attacco è vulnerabile RDP?

Diamo un’occhiata ad alcuni dei diversi tipi di attacchi informatici che un criminale informatico può eseguire tramite un vettore di accesso remoto utilizzando RDP. Il  protocollo proprietario sviluppato da Microsoft  fornisce l’accesso a un client da un server tramite traffico TCP crittografato. L’RDP scarsamente protetto offre agli hacker un potenziale punto di ingresso nelle reti aziendali. Gli hacker sono ben consapevoli dell’ampio uso di RDP all’interno delle organizzazioni e lo prendono di mira come metodo per proliferare i loro attacchi.

ATTACCHI MAN-IN-THE-MIDDLE

Le sessioni RDP sono suscettibili agli attacchi man-in-the middle in cui l’hacker intercetta tutte le comunicazioni inviate tra un client e un terminal server utilizzando lo spoofing ARP (Address Resolution Protocol) o lo spoofing DNS (Domain Name System). Possono utilizzarlo per diffondere ransomware o impiantare eseguibili arbitrari all’interno delle organizzazioni.

RACCOLTA DELLE CREDENZIALI

Le sessioni RDP sono anche soggette alla raccolta delle credenziali in memoria. L’acquisizione e la vendita di credenziali RDP sul Dark Web è stato redditizio per molti hacker. xDedic era un noto mercato online in cui i criminali informatici compravano e vendevano l’accesso a server hackerati, come è stato rivelato in un rapporto di Kaspersky pubblicato nel giugno 2016 . Il rapporto ha avvertito che 250.000 credenziali per i server RDP in tutto il mondo sembravano essere in vendita per un minimo di $ 6 ciascuna. Il sito è andato sottoterra e ha continuato a funzionare fino al 2019, quando è stato chiuso in uno sforzo congiunto dell’FBI e di diversi paesi europei.

NEGAZIONE DEL SERVIZIO

Gli hacker possono anche utilizzare un attacco di brute force per ottenere l’accesso alle credenziali RDP. Durante un attacco, un malintenzionato eseguirà la scansione di un intervallo di indirizzi IP, cercherà le porte aperte utilizzate da RDP e utilizzerà un metodo di forza bruta, come un attacco con dizionario, per tentare di determinare la password. Questo attacco di forza bruta può fungere da Denial of Service (DoS) contro la memoria o l’archiviazione del sistema operativo, interrompendone il normale funzionamento e impedendo ad altri utenti di accedervi.

Cos’altro potrebbe andare storto?

Anche se non stai utilizzando una soluzione di desktop remoto basata su RDP , come con qualsiasi software, prima o poi potrebbero sorgere bug o minacce interne. Alcuni sono dannosi, altri sono accidentali, ma in entrambi i casi possono causare gravi danni.

VULNERABILITÀ DELLE AUTORIZZAZIONI

Un ricercatore di SafeBreach nel 2019 ha scoperto un exploit di sicurezza critico nelle autorizzazioni di amministratore di TeamViewer. I criminali informatici avrebbero potuto utilizzarlo per caricare ed eseguire payload dannosi in modo persistente, ogni volta che il servizio veniva caricato.

PROTEZIONE CON PASSWORD DEBOLE 

In assenza di un meccanismo di autenticazione a più fattori, un hacker è libero di indovinare la password di un utente. Se le password sono deboli o riutilizzate, da tecnici o dipendenti, su più account, la violazione diventa più facile per un hacker motivato con accesso a credenziali compromesse da precedenti violazioni dei dati.

INGEGNERIA SOCIALE TRAMITE ACCESSO REMOTO

Può ancora essere facile cadere nelle truffe in questi giorni ed età. In un recente thread di Reddit , un utente ha spiegato in dettaglio come qualcuno presumibilmente dalla Cina gli abbia chiesto di utilizzare a distanza il suo computer in cambio di un pagamento, probabilmente cercando un fallito per truffare gli altri. In questo caso, il vettore di attacco sarebbe stato utilizzato con il consenso del proprietario del computer, sfruttando la sua debolezza nella prospettiva di guadagnare facilmente.

Scegliere il giusto strumento di accesso al desktop remoto

Poiché le aziende si aspettano sempre più che i loro fornitori di servizi le mantengano al sicuro, è importante assicurarsi che gli strumenti che utilizzi siano all’altezza della sfida.

L’integrazione tra SolarWinds ® Take Control e SolarWinds Passportal è progettata per eludere le vulnerabilità sopra menzionate e aiutarti a rimanere al sicuro in ambienti difficili.

Accesso sicuro : Take Control utilizza protocolli di crittografia avanzati e un visualizzatore e un agente separati per le connessioni remote. Invece di una connessione diretta tra due macchine, questo instrada il traffico attraverso un intermediario che è molto più difficile da penetrare per gli hacker.

Controllo delle autorizzazioni degli utenti : Take Control applica il principio del privilegio minimo, consentendo ai tecnici assegnati di avere accesso solo ad account specifici, mitigando il rischio di attacchi interni.

Proteggi gli accessi : qualsiasi soluzione degna di questo nome deve includere l’autenticazione a due fattori (2FA). Take Control offre app di autenticazione per 2FA tra cui Google Authenticator, Duo Mobile, Authy e Microsoft Authenticator. Queste app aumentano la sicurezza impedendo l’intercettazione dei messaggi SMS da parte dei criminali informatici o da coloro che hanno accesso agli account di posta elettronica.

Protezione sicura tramite password : Take Control include Passportal, un gestore di password integrato che inserisce le credenziali in un sistema senza che il tecnico le veda. L’integrazione tra Take Control e Passportal consente di risparmiare tempo ai tecnici, aumentare l’efficienza nel processo di connessione remota e aumentare la sicurezza. Per saperne di più su questa integrazione, scarica la nostra scheda delle funzioni .

Inizia oggi una prova gratuita di SolarWinds Take Control Plus.

FONTE: SolarWinds MSP BLOG – di Marilena Levy*

Traduzione ed adattamento: N4B SRL – Distributore Autorizzato SolarWinds MSP

*Marilena Levy è product marketing manager, SolarWinds MSP