Logo72

RDP e Porta TCP 3389: O que é e como fazer um acesso remoto seguro

A conexão RDP e Porta Ts tem ajudado milhares de organizações que aderiram ao home office, entretanto existem alguns riscos relacionados a elas e que você precisa se atentar algumas medidas para evitar invasões e garantir um acesso remoto seguro.

Frequentemente usadas, as conexões RDP e Porta TCP 3389 são dois canais que possibilitam a conexão remota de uma máquina a outra, seja por usuários que trabalham em escritórios remotos ou pelo setor de tecnologia da informação, a fim de realizar configurações ou assistência a distâncias.

A principal diferença entre RDP e a Porta TCP 3389 é que RDP está para Remote Desktop Protocol em inglês, e é um protocolo multicanal que permite que um usuário se conectem a um computador rodando o Microsoft Terminal Services, enquanto a Porta TCP 3389 é um canal padrão para se comunicar com o Microsoft Terminal Services.

As duas conexões, apesar de trabalharem em conjunto, uma possibilitando o funcionamento da outra, desempenham papéis diferentes. De qualquer modo, a diferença entre as duas é simples de entender. Este guia irá te ajudar a obter uma compreensão clara de cada uma das conexões e como fazer o uso seguro de cada uma delas. Vamos falar dos seguintes pontos.

O que é a conexão RDP?

A conexão Remote Desktop Protocol (RDP), é uma tecnologia desenvolvida pela Microsoft, que se baseia e é uma extensão da família de padrões do protocolo T-120, um protocolo com capacidade multicanal que permite o compartilhamento de dados como:

  • Dados de apresentação
  • Serial de comunicação de dispositivos
  • Informações de licença
  • Dados altamente criptografados, como teclado e atividade do mouse

Ou seja, a RDP transmite a atividade que um usuário realiza em um computador para outro computador remotamente, dessa forma a área de trabalho do dispositivo que eles estão acessando remotamente é exibida no dispositivo que está sendo utilizado para se conectar a ele.

Os dados são sempre compartilhados usando a porta TCP 3389 e são enviados por meio de protocolos centrais da Internet, como TCP/IP (Transmission Control Protocol e Internet Protocol) e UDP (User Datagram Protocol).

Acesso a conexão RDP em um sistema Windows 10

O que é a Porta TCP 3389?

A porta TCP 3389 faz parte da lista de portas dos protocolos TCP, que define como o computador se comunica com outros computadores. TCP está para Transmission Control Protocol em inglês, e é um padrão de comunicação que permite que programas e dispositivos de computação troquem mensagens em uma rede.

Então, quando você se conecta a um computador por meio da Área de Trabalho Remota, o sistema no computador “escuta” a sua solicitação de conexão por uma porta de escuta definida por padrão, que é a porta 3389 e ela possibilita que o acesso seja feito.

Por que o acesso remoto pode ser vulnerável?

Imagine que você foi passar as férias na praia com a sua família e que se esqueceu de reaplicar o protetor solar após entrar no mar. Mesmo tendo aplicado antes a sua pele se torna mais vulnerável pois a água retira a proteção aplicada anteriormente aumentando os riscos de queimaduras solares. O mesmo acontece com quem utiliza a conexão RDP sem os devidos cuidados e precauções.

Junte isso com a utilização de senhas fracas, versões de softwares não corrigidas, sistemas operacionais sem atualizações de segurança ou não registrados, dessa forma a invasão pode ser uma questão de tempo, pois o sistema está vulnerável, permitindo assim que invasores controlem a sua organização tendo acesso a dados importantes, como:

  • Nomes e dados de usuário
  • Informações sigilosas da empresa
  • Funções
  • Informações da versão – com patch ou sem patch
  • e muito mais

Como acontece uma invasão pela conexão RDP?

Uma vulnerabilidade na implantação da conexao RDP acontece ocasionalmente em sistemas antigos e sem correções. No entanto, esse não é o tipo principal de ataque de RDP.

Um ataque de força bruta ou o uso de credenciais de login fracas acontecem com muito mais frequência. Nesse tipo de ataque, o invasor tenta, de forma automatizada, várias combinações de senha até que a solução correta é encontrada. Senhas fracas e, claro, vazadas, também são aproveitadas para a invasão.

Invasão através da conexão RDP e porta TCP 3389

As falhas mais notórias, no entanto, ocorrem quando o acesso de RDP é aberto a toda a internet (especificamente, a porta 3839). Se as configurações de segurança no terminal forem ruins, deixam uma porta para interceptadores encontrarem e invadirem o computador alvo.

Vulnerabilidades nos seus sistemas e processos tendem a atrair problemas que se tornaram muito famosos no universo da cibersegurança. Veja alguns deles:

O que foi a falha BlueKeep?

A BlueKeep foi uma falha que foi descoberta em maio de 2019 pelo centro de Cibersegurança Nacional do Reino Unido, ela é uma vulnerabilidade de software que afeta versões antigas do Microsoft Windows e ataca diretamente o sistema do Remote Desktop Protocol (RDP). Podendo permitir que uma ameaça cibernética se espalhe muito rapidamente pela rede. A partir de então, a Microsoft tem insistido com avisos contundentes para que os usuários apliquem a correção em seus equipamentos.

Em um dos seus alertas , a Microsoft ressaltou que:

A vulnerabilidade BlueKeep pode fazer com que problemas ligados à cibersegurança fiquem fora de controle, podendo se “propagar de um computador vulnerável a outro, do mesmo jeito que ocorreu com o malware WannaCry, que infestou máquinas do mundo todo em 2017”.

O que foi o malware WannaCry?

Segundo a Kaspersky, o malware WannaCry é um ransomware – um arquivo nocivo que criptografa todos os dados contidos no computador invadido e só os decifra após receber um pagamento em bitcoin.

Ainda segundo a empresa, o “WannaCry” é uma família de malwares feita para atacar usuários de diversos países diferentes. Um ataque virtual de proporções globais atingiu pessoas, empresas e instituições no mundo todo, incluindo hospitais públicos do Reino Unido e grandes corporações na Espanha . E embora o ataque e suas consequências tenham sido enormes, existia a possibilidade de que ele pudesse ter sido evitado.

De acordo com autoridades europeias , mais de 200 mil computadores foram infectados. Embora os ataques mais notórios tenham acontecido na Europa Ocidental, o país com maior número de PCs vitimados foi, de longe, a Rússia. O Brasil, no entanto, também teve diversos casos; de acordo com um relatório da Avast, o país foi o quinto mais afetado.

Os 10 países mais afetados pelo WannaCry (em número de detecções):

  1. Rússia – 113.692
  2. Ucrânia – 26.658
  3. Taiwan – 22.736
  4. Índia – 4.108
  5. Brasil – 2.114
  6. Argentina – 742
  7. Estados Unidos – 716
  8. Japão – 648
  9. República Tcheca – 560
  10. Grã-Bretanha – 440

Os 10 países com o maior número de dispositivos vulneráveis:

  1. Rússia – 20,84%
  2. Indonésia – 20,49%
  3. Índia – 18,53%
  4. Argentina – 18,42%
  5. Brasil – 17,56%
  6. México – 14,71%
  7. Eslováquia – 12,97%
  8. Polônia – 12,77%
  9. Espanha – 12,60%
  10. República Tcheca – 9,81%

Em outras palavras, uma vez introduzida, ameaças como essas podem se multiplicar sem nenhuma interação humana e os criminosos utilizam essas brechas para obter lucros roubando informações e executando vazamento de dados.

Por que a conexão RDP é vulnerável?

Os pesquisadores da Check Point que analisam o uso de serviços remotos, encontraram 25 vulnerabilidades em usuários da conexão RDP apenas no ano de 2020.

“Os usuários devem evitar se conectar a servidores RDP que não implementaram medidas de segurança suficientes” aconselharam os pesquisadores.

Causa de ataques de Ransoware. Fonte: Coveware

Assim como vemos no gráfico a cima, de acordo com os estudos e dados da equipe de pesquisa da Coveware os ataques de Ransoware possui várias fontes mas a principal é através do protocolo RDP.

Explica os pesquisadores da Malwarebytes, muitas portas abertas podem ser usadas em um ataque de força bruta, mas as portas RDP são as mais desejáveis ​​para qualquer pessoa que esteja tentando obter acesso, porque o invasor pode ter uma ideia razoável sobre o nome de usuário e só precisa aplicar força bruta na senha, expondo assim os seus dados.

Conforme mencionado anteriormente, a mudança para trabalhar em casa causou um grande aumento no número de portas RDP abertas em todo o mundo. O número de portas RDP expostas à Internet cresceu de cerca de três milhões em janeiro de 2020 para mais de quatro milhões e meio em março.

Como se proteger da invasores e fazer um acesso remoto seguro?

Existem algumas medidas que você pode tomar para proteger seus sistemas, rede e informações, alguns deles são:

  • Usar senhas fortes (longas e complexas) para impedir ataques de força bruta
  • Ativar políticas de bloqueio de contas para barrar tentativas de invasão
  • Renomear o nome do administrador padrão
  • Utilizar certificados digitais confiáveis
  • Aplicar a autenticação multifator (MFA), quando possível.
  • Aplicar atualizações de sistema e software regularmente.
  • Manter o backup dos dados atualizado.
  • Instalar os patches disponíveis.
  • Ativar o registro e assegurar que os mecanismos de registro capturem logins do RDP.

Isso irá ajudar a proteger seus sistemas de informação, mas lembrando o RDP é vulnerável como protocolo e não deve ser exposto à Internet. Explorações conhecidas podem tirar vantagem instantânea da vulnerabilidade e ganhar impulso para obter mais informações, como exfil data, ransomware, malware, pivot para outros sistemas ou usar um key logger para obter acesso às suas contas pessoais.

O que fazer se um invasor atacar o meu sistema?

Temos experiência em Resposta a Incidentes e Análise Forense, podendo auxiliar a sua empresa na resposta e recuperação. Realizamos análises sobre como o invasor acessou o seu sistema, quais atividades realizaram e auxiliar na recuperação de dados e prevenção de ataques futuros, auxiliando a sua organização a se manter segura sem o ataque de invasores.

Durante um ataque, o tempo é extremamente importante para evitar a exposição de dados ou outros tipos de danos. Se você acha que está comprometido, entre em contato conosco agora!