# CYBERBITZ INSIGHT _

RDP e porta TCP 3389

RDP Systems

A conexão Remote Desktop Protocol (RDP), é uma tecnologia desenvolvida pela Microsoft, muito utilizado nas organizações pois permite aos usuários se conectarem remotamente de uma máquina a outra, seja por usuários que trabalham em escritórios remotos ou pelo setor de tecnologia da informação, a fim de realizar configurações a distâncias. Apesar das funcionalidades e benefícios pode ser também uma porta de entrada para invasores, é importante se atentar a algumas medidas que garantem um acesso remoto seguro.

RDP e porta TCP 3389

RDP e porta TS: Vulnerabilidades e os riscos da exposição

Vulnerabilidades do protocolo RDP e porta TS. Quais são os riscos?

RDP E PORTA TCP 3389: O que é e como fazer um acesso remoto seguro

A conexão Remote Desktop Protocol (RDP), é uma tecnologia desenvolvida pela Microsoft, muito utilizado nas organizações pois permite aos usuários se conectarem remotamente de uma máquina a outra, seja por usuários que trabalham em escritórios remotos ou pelo setor de tecnologia da informação, a fim de realizar configurações a distâncias. Apesar das funcionalidades e benefícios pode ser também uma porta de entrada para invasores, é importante se atentar a algumas medidas que garantem um acesso remoto seguro.

O trabalho remoto como influência nas invasões

Após o ano de 2020, com o aumento considerável de funcionários em trabalho remoto devido a pandemia, foi inevitável a mudança do panorama da cibersegurança. O FBI relatou[1] um aumento de 300% no crime cibernético no primeiro trimestre de 2020, e um dos principais motivos pelos quais esses ataques estão crescendo rapidamente é a mudança de locais de escritório seguros para ambientes de trabalho remotos menos seguros.

Apesar de protocolos como o RDP auxiliarem na agilidade de processos á distância, redução de tempo de trabalho e criação de dinamismo, existem muitos riscos envolvidos, principalmente às informações e dados da empresa. Sendo assim, é muito importante você entender como esses recursos podem ser uma vulnerabilidade e como garantir um acesso remoto seguro.

Quais são os riscos?

Imagine que você foi passar as férias na praia com a sua família e se esqueceu de reaplicar o protetor solar após entrar no mar. Mesmo tendo aplicado antes a sua pele se torna mais vulnerável pois a água retira a proteção aplicada anteriormente aumentando os riscos de queimaduras solares. O mesmo acontece com quem utiliza a conexão RDP sem os devidos cuidados e precauções.

Por padrão, o RDP usa a porta 3389 TCP para conexões de cliente e uma vez identificada, uma porta de acesso pode ser explorada em um ataque. Junte isso com a utilização de senhas fracas, versões de softwares não corrigidas, sistemas operacionais sem atualizações de segurança ou não registrados, a invasão pode ser uma questão de tempo, pois o sistema está vulnerável, permitindo que os cibercriminosos controlem a sua organização e tenha acesso a dados importantes, como:

  • Nomes de usuário
  • Dados de usuários
  • Informações sigilosas da empresa
  • Funções
  • Informações da versão - com patch ou sem patch
  • e muito mais

GRÁFICO PORTA TCP 3389

Por que isso é um problema?

Vulnerabilidades nos seus sistemas e processos tendem a atrair problemas como a BlueKeep. Essa é uma falha que foi descoberta em maio de 2019 pelo centro de Cibersegurança Nacional do Reino Unido[1], ela é uma vulnerabilidade de software que afeta versões antigas do Microsoft WindowS e taca diretamente o sistema do Remote Desktop Protocol (RDP). Podendo permitir que uma ameaça cibernética se espalhe muito rapidamente pela rede. A partir de então, a Microsoft tem insistido com avisos contundentes para que os usuários apliquem a correção em seus equipamentos.

Em um dos seus alertas[2], a Microsoft diz que a vulnerabilidade BlueKeep pode fazer com que problemas ligados à cibersegurança fiquem fora de controle, podendo se “propagar de um computador vulnerável a outro, do mesmo jeito que ocorreu com o malware WannaCry, que infestou máquinas do mundo todo em 2017”.

Segundo a Kaspersky[3], o malware WannaCry é um ransomware - um arquivo nocivo que criptografa todos os dados contidos no computador invadido e só os decifra após receber um pagamento em bitcoin. Ainda segundo a empresa, o "WannaCry" é uma família de malwares feita para atacar usuários de diversos países diferentes.

Um ataque virtual de proporções globais atingiu pessoas, empresas e instituições no mundo todo, incluindo hospitais públicos do Reino Unido e grandes corporações na Espanha[4]. E embora o ataque e suas consequências tenham sido enormes, existia a possibilidade de que ele pudesse ter sido evitado.

De acordo com autoridades europeias[5], mais de 200 mil computadores foram infectados. Embora os ataques mais notórios tenham acontecido na Europa Ocidental, o país com maior número de PCs vitimados foi, de longe, a Rússia. O Brasil, no entanto, também teve diversos casos; de acordo com um relatório da Avast, o país foi o quinto mais afetado.

Os 10 países mais afetados pelo WannaCry (em número de detecções):[6]

  • Rússia – 113.692
  • Ucrânia – 26.658
  • Taiwan – 22.736
  • Índia – 4.108
  • Brasil – 2.114
  • Argentina – 742
  • Estados Unidos – 716
  • Japão – 648
  • República Tcheca – 560
  • Grã-Bretanha – 440

Os 10 países com o maior número de dispositivos vulneráveis:

  • Rússia – 20,84%
  • Indonésia – 20,49%
  • Índia – 18,53%
  • Argentina – 18,42%
  • Brasil – 17,56%
  • México – 14,71%
  • Eslováquia – 12,97%
  • Polônia – 12,77%
  • Espanha – 12,60%
  • República Tcheca – 9,81%

Em outras palavras, uma vez introduzida, ameaças como essas podem se multiplicar sem nenhuma interação humana e os criminosos utilizam essas brechas para obter lucros roubando informações e executando vazamento de dados.

Os pesquisadores da Check Point[7] que analisam o uso de serviços remotos, encontraram 25 vulnerabilidades em clientes RDP apenas no ano de 2020. “Os usuários devem evitar se conectar a servidores RDP que não implementaram medidas de segurança suficientes” aconselharam os pesquisadores.

GRÁFICO RANSOMWARE ATTACK VECTOR

Como explica os pesquisadores da Malwarebytes[8], muitas portas abertas podem ser usadas em um ataque de força bruta, mas as portas RDP são as mais desejáveis ​​para qualquer pessoa que esteja tentando obter acesso, porque o invasor pode ter uma ideia razoável sobre o nome de usuário e só precisa aplicar força bruta na senha, expondo assim os seus dados.

Conforme mencionado anteriormente, a mudança para trabalhar em casa causou um grande aumento no número de portas RDP abertas em todo o mundo. O número de portas RDP expostas à Internet cresceu de cerca de três milhões em janeiro de 2020 para mais de quatro milhões e meio em março[9].

O termo porta aberta refere-se a um número de porta TCP ou UDP configurada para aceitar pacotes. Em resumo, uma porta que rejeita conexões ou ignora todos os pacotes é uma porta fechada. Quanto menos portas abertas você tiver para a Internet, mais seguro será. Limitar o número de portas abertas é um bom começo.[10]

Como você pode proteger sua organização e informações?

Existem algumas coisas que você pode fazer para proteger seus sistemas, rede e informações, alguns deles são:

  • Usar uma VPN para acesso remoto
  • Habilitar registro detalhado
  • Usar senhas fortes para dificultar o ataque de força bruta
  • Manter os sistemas atualizados
  • Implementar um Firewall

Esses são alguns passos que poderão ajudar a proteger seus sistemas e informações, mas lembrando o RDP é vulnerável como protocolo e não deve ser exposto à Internet. Explorações conhecidas podem tirar vantagem instantânea da vulnerabilidade e ganhar impulso para obter mais informações, como exfil data, ransomware, malware, pivot para outros sistemas ou usar um key logger para obter acesso às suas contas pessoais.

O que fazer se eu for atacado ou achar que alguém acessou meu sistema?

Temos experiência em Resposta a Incidentes e Computação Forense e podemos auxiliar na sua resposta e recuperação, realizando análises para descobrir como eles entraram, quais atividades realizaram e auxiliar na recuperação de dados e prevenção de ataques futuros, auxiliando a sua organização a se manter segura sem o ataque de invasores.

Durante um ataque, o tempo é extremamente importante para evitar a exposição de dados ou outros tipos de danos.

Se você acha que está comprometido, entre em contato conosco agora!

[1] O que é a BlueKeep e por que isso interessa a você? [2] O que é a BlueKeep e por que isso interessa a você? [3] WannaCry: Entenda o ciberataque que afetou mais de 200 mil PCs em 150 países [4] WannaCry: Entenda o ciberataque que afetou mais de 200 mil PCs em 150 países [5] WannaCry: Entenda o ciberataque que afetou mais de 200 mil PCs em 150 países [6] Brasil é um dos 5 países mais afetados pelo vírus que correu o mundo [7] Reverse RDP Attack: Code Execution on RDP Clients - Check Point Research [8] Brute force attacks increase due to more open RDP ports - Malwarebytes Labs [9] Brute force attacks increase due to more open RDP ports - Malwarebytes Labs [10] Brute force attacks increase due to more open RDP ports - Malwarebytes Labs [1] RDP, the ransomware problem that won't go away - Malwarebytes Labs

Post Url: rdp-e-porta-ts-seus-riscos-e-como-se-proteger

Emergência?

Malware, ransomware ou outras cyber emergências, entre em contato imediatamente.

Brasil ShieldsUp Alertas

Alertas Importantes que requerem atenção imediata e que estão sendo explorados ativamente

Insights

No nosso Insights blog, você pode obter informações valiosas para melhor proteger sua empresa