bienvenido a t-cert
A medida que la pandemia de la COVID-19 se fue extendiendo por todo el mundo, muchos de nosotros, incluido yo mismo, recurrimos a trabajar a tiempo completo desde casa. Muchas de las personas que trabajan, ya estaban acostumbradas a trabajar de forma remota parte del tiempo, y en gran medida fue solo ampliar los recursos existentes para manejar la afluencia de nuevos trabajadores remotos, como comprar algunas computadoras portátiles más y licencias para VPN.
Sin embargo, esta no fue la misma realidad para muchas organizaciones en todo el mundo, ya que para que su fuerza laboral pueda trabajar a distancia tuvieron que configurar desde cero el acceso remoto —o al menos aumentar significativamente los servidores de Protocolo de escritorio remoto (RDP)— para que muchas personas en simultáneo puedan teletrabajar.
Una de las cosas que notamos fue que los ataques al RDP continuaron creciendo. Según el informe de amenazas correspondiente al primer cuatrimestre de 2022, se detectaron más de 100 mil millones de intentos de ataque de este tipo, y más de la mitad correspondían a direcciones IP rusas.
Estas cifras claramente hicieron necesario revisar nuevamente los ataques y los exploits que se habían desarrollado contra el RDP durante los últimos dos años para comprender mejor los registros que se desprenden de los reportes de inteligencia de amenazas y de la telemetría. Esto nos llevó a publicar una nueva versión (en inglés) del documento que originalmente elaboramos en 2020, y que ahora se titula Remote Desktop Protocol: Configuring remote access for a secure workforce. Puede acceder al documento a continuación.
¿Qué ha estado pasando con el RDP?
En la primera parte de este documento analizamos cómo han evolucionado los ataques en los últimos dos años. Una cosa que me gustaría compartir es que no todos los ataques han ido en aumento. Para un tipo de vulnerabilidad, vio una marcada disminución en los intentos de explotación:
Las detecciones del exploit BlueKeep (CVE-2019-0708) en Servicios de escritorio remoto disminuyeron 44 % desde su punto máximo en 2020. Atribuimos esta disminución a un incremento de equipos parcheados contra esta vulnerabilidad y más protección contra exploits en el perímetro de la red.
Uno de los reclamos qué con más frecuencia le hacen a las empresas de seguridad informática es que pasan demasiado tiempo hablando de que la seguridad empeora y nunca que mejora, y que las buenas noticias son poco frecuentes y transitorias. Algunas de esas críticas son válidas, pero la seguridad siempre es un proceso continuo: siempre surgen nuevas amenazas. En este caso, ver que los intentos de explotar una vulnerabilidad como BlueKeep disminuyen con el tiempo parece una buena noticia. El servicio RDP sigue siendo ampliamente utilizado, y esto significa que los atacantes continuarán en la búsqueda de vulnerabilidades que pueden explotar.
Para que una clase de exploits desaparezca, todo lo que sea vulnerable a ellos tiene que dejar de usarse. La última vez que recuerdo haber visto un cambio tan generalizado fue cuando Microsoft lanzó Windows 7 en 2009 y en esta nueva versión del sistema operativo estaba desactivado el soporte para AutoRun (AUTORUN.INF).
Luego, Microsoft trasladó este cambio a todas las versiones anteriores de Windows, aunque no perfectamente la primera vez. Esto fue importante porque desde que se lanzó Windows 95 en 1995, la funcionalidad AutoRun fue abusada para propagar gusanos como Conficker. En un momento, los gusanos basados en AUTORUN.INF representaron casi una cuarta parte de las amenazas detectadas por las soluciones de seguridad de ESET. Hoy en día, representan menos de la décima parte del uno por ciento de las detecciones.
A diferencia de AutoPlay, el RDP sigue siendo una funcionalidad de uso regular en Windows y el hecho de que haya registrado una disminución en el uso de un solo exploit no significa que los ataques contra el protocolo de escritorio remoto en su conjunto estén disminuyendo. De hecho, los ataques explotando vulnerabilidades en el RDP han aumentado enormemente, lo que plantea otra posible interpretación para la disminución de las detecciones de BlueKeep: otras vulnerabilidades presentes en el servicio RDP podrían ser mucho más efectivas y los atacantes han estado apuntando a ellas.
Solo basta con observar los datos desde principios de 2020 hasta finales de 2021 para comprobar esto. Durante ese período, se muestra un aumento masivo de intentos maliciosos de conexión al RDP. ¿Qué tan grande fue el salto? En el primer trimestre de 2020, registramos 1970 millones de intentos de conexión. Para el cuarto trimestre de 2021 el número h
.jpg){kind=small}