L’uso del protocollo RDP, acronimo di Remote Desktop Protocol, è diventato cruciale nell’odierno panorama aziendale. D’altronde, con il diffondersi del telelavoro e dello smart working, le aziende hanno dovuto individuare soluzioni in grado di consentire ai propri dipendenti di accedere facilmente alle infrastrutture aziendali, anche da remoto. Il protocollo RDP è inoltre un potente strumento per gli amministratori di rete che possono infatti diagnosticare e risolvere problemi a distanza, riducendo così notevolmente i tempi di intervenento.
Diffusosi con ancor maggior forza a seguito dei cambiamenti al mondo del lavoro imposti dal Covid-19, il Remote Desktop Protocol sviluppato da Microsoft ha però presto conquistato l’attenzione dei cybercriminali. Nel 2020 infatti, stando ad una ricerca di ESET, gli attacchi RDP sono aumentati di oltre il 700%. Un dato di certo allarmante, a cui si aggiungono notizie dell’ultima ora come quelle relative agli attacchi DDoS (Distributed Denial-of-Serice) e al malware Trickbot dotato di uno scanner RDP per cercare le porte aperte vulnerabili, magari perché il servizio non è stato aggiornato, le configurazioni non sono sicure oppure perché non sono implementati controlli di sicurezza.
Insomma, non è oro tutto ciò che luccica e nonostante i vantaggi e la praticità del protocollo RDP oggi è più importante che mai prestare attenzione alla sicurezza: Un servizio RDP esposto, magari associato ad utenze con password deboli, è estremamente vulnerabile. Ecco cos’è un protocollo RDP e alcuni accorgimenti per migliorarne la sicurezza.
Cos’è il protocollo RDP
Il Remote Desktop Protocol, o protocollo RDP, è un protocollo di rete sviluppato da Microsoft progettato per offrire all’utente un’interfaccia grafica per la connessione remota, via rete, ad un altro computer. Il protocollo, che usa di default la porta TCP e UDP 3389, fu introdotto da Microsoft nel lontano 1996 per soddisfare la crescente necessità di controllare un dispositivo da un altro e supportare la gestione dei carichi di lavoro dell’IT. Dalla versione XP, ogni sistema Windows fa uso del protocollo RDP per la connessione remota, sebbene con una configurazione minima, il client RDP sia disponibile anche per Mac, oltre che dispositivi mobili Android e iOS.
Attraverso la connessione RDP, insomma, gli utenti possono accedere a distanza a un computer o servizi interni all’azienda e gli amministratori di rete possono gestire sistemi e server in data center, eseguendo le necessarie manutenzioni del caso, senza lasciare l’ufficio.
Un client RDP stabilisce una connessione tra il dispositivo dell’utente e un computer host, consentendo il controllo remoto come se l’utente si trovasse fisicamente davanti al monitor. L’interfaccia grafica del dispositivo remoto viene visualizzata localmente, consentendo un’interazione diretta attraverso gli strumenti di I/O del computer locale.
Come abbiamo anticipato però, l’apertura o esposizione delle porte RDP su internet rappresenta una grave minaccia alla sicurezza. I criminali informatici da tempo hanno preso l’abitudine di cercare porte RDP esposte per muoversi all’interno della rete e sferrare i propri attacchi. Negli ultimi anni, i cyber attacchi RDP sono drasticamente aumentati così come il numero di hacker che sfrutta questa vulnerabilità per distribuire ransomware e compromettere la sicurezza aziendale.
Come funziona il Remote Desktop Protocol
Per utilizzare il protocollo RDP, l’utente deve configurare il software client sul dispositivo da cui desidera effettuare la connessione e il software server sul computer di destinazione. Questo protocollo, per creare una connessione peer-to-peer, sfrutta la porta di rete 3389 e consente così la comunicazione tra il client e il server, garantendo la trasmissione dei movimenti del mouse, delle pressioni dei tasti e di altri dati. Una volta collegate le due macchine, infatti, l’utente vedrà la stessa interfaccia grafica del desktop e potrà accedere a tutti i file e alle applicazioni, esattamente come farebbe lavorando direttamente sul dispositivo remoto.
Un aspetto cruciale del RDP è la crittografia: in una configurazione sicura tutti i dati trasmessi sono crittografati per impedire l’intercettazione da parte di potenziali aggressori.
Gli svantaggi e le vulnerabilità del protocollo RDP Remote Desktop Protocol
Il Remote Desktop Protocol (RDP) offre vantaggi considerevoli per l’accesso remoto, ma presenta anche diverse sfide.
Tra i limiti e le vulnerabilità a cui è necessario prestare attenzione vi sono:
- Rischio di attacchi: quando esposto a internet, senza VPN, RDP è un bersaglio frequente per gli hacker che sempre più cercano di sfruttarne le vulnerabilità forzando l’accesso tramite attacchi brute force e tentativi di exploit del servizio, approfittando del suo non essere aggiornato o dell’assenza di sistemi di controllo delle anomalie.
- Versioni obsolete: proprio perché il Remote Desktop Protocol rappresenta una nota vulnerabilità, è necessario prestargli particolare cura e attenzione, accertandosi che il servizio sia aggiornato e configurato in maniera sicura. Questo anche perché configurazioni errate o incomplete potrebbero compromettere la connessione ed esporre un varco per l’accesso abusivo alla rete aziendale.
- Esposizione delle porte: RDP richiede l’apertura delle porte sulla rete, aumentando il rischio di scansione da parte di malintenzionati alla ricerca di porte RDP aperte. Come abbiamo anticipato in apertura, ad oggi i malware sono dotati di scanner RDP proprio allo scopo di individuare server Remote Desktop esposti e, dunque, attaccabili.
- Password deboli: le password deboli o predefinite possono essere facilmente compromesse, consentendo l’accesso non autorizzato alla rete. Capita spesso che gli utenti, per evitare dimenticanze o difficoltà d’accesso, riutilizzino le stesse password per più account o utilizzino password troppo semplici per poterle memorizzare facilmente. Credenziali compromesse sono naturalmente un vettore molto gettonato negli attacchi con ransomware.
RDP e VPN
Ora che abbiamo visto cos’è e quali sono le principali vulnerabilità del Remote Desktop Protocol, è fondamentale mettere qui in evidenza l’importanza che la VPN ricopre nel migliorarne il livello di sicurezza.
La VPN, acronimo di Virtual Private Network, è una rete privata (come suggerisce il nome stesso) che permette la creazione di un collegamento sicuro fra due punti attraverso una rete pubblica.
Le VPN sono fondamentali per l’uso di RDP per diversi motivi, il primo dei quali è certamente la possibilità di non esporre la porta RDP a internet, potendo cioè limitare l’accesso solo ed esclusivamente a quei casi in cui il collegamento VPN è già stato stabilito.
Si tratta, questa, di un’importante misura di sicurezza che impedisce ai criminali informatici di trovare la porta RDP e poterne forzare l’accesso, creando piuttosto una connessione diretta e sicura tra dispositivo e macchina remota, nel caso di imprese con più sedi, di collaboratori in smart working e così via.
Dunque, per le imprese non si tratta affatto di scegliere tra VPN e RDP ma di utilizzare l’uno (VPN) per rendere sicuro l’accesso all’altro (RDP).
Che cosa accade quando RDP viene esposto a internet senza le giuste precauzioni o senza VPN? Che il server RDP, oggi noto anche come RDS, Remote Desktop Service, comincerà ad essere preda di tentativi di accesso anomali non autorizzati.
RDP esposti: impennata di attacchi
L’incredibile impennata degli attacchi informatici tramite RDP è una diretta conseguenza dell’epidemia da Covid-19 e dell’esplosione del cyber crimine che ha accompagnato la pandemia. Nel 2020, in effetti, le imprese si sono improvvisamente trovate costrette a adottare soluzioni e tecnologie alternative per permettere ai propri collaboratori di proseguire l’attività lavorativa, anche da remoto. È evidente che questa situazione di instabilità, accompagnata da una generale mancanza di consapevolezza di quelle che sono le regole di sicurezza informatica, si è trasformata in un terreno ideale per gli hacker.
Questi aggressori hanno infatti preso di mira gli endpoint remoti come via d’accesso per infiltrarsi nelle reti aziendali. Gli attacchi ransomware tramite RDP sono in costante aumento, e le piccole e medie imprese spesso risultano essere le vittime principali. Nonostante questi dati possano far credere che il problema risieda proprio nel Remote Desktop Services, la verità è che il problema principale risiede piuttosto nella sua posizione all’interno del sistema operativo, che crea una vasta area di vulnerabilità.
L’aumento degli attacchi brute force, in cui gli aggressori utilizzano strumenti automatizzati per testare combinazioni di nome utente e password precedentemente compromesse, è stato rilevato in tutto il mondo. Una volta ottenuto l’accesso, gli aggressori possono compiere svariate azioni dannose, dall’accesso alle informazioni sensibili all’installazione di malware.
Controlli d’accesso
Sia che il servizio venga esposto a internet sia esso venga gestito tramite VPN, rimane fondamentale implementare controlli di sicurezza in grado di rilevare e segnalare anomalie di utilizzo.
Basti pensare al caso degli attacchi brute force. Questa tipologia di attacchi informatici vede l’hacker provare ripetutamente password differenti nel tentativo di “indovinare” la password debole di un utente e ottenere così accesso al sistema, indipendentemente dal numero di tentativi e ore necessarie per portare a termine l’attacco.
È chiaro che in questo caso, un controllo efficace e capace di prevenire questa tipologia di attacchi deve rilevare l’anomala quantità di tentativi d’accesso e bloccarli automaticamente, segnalando la questione all’Amministratore di Sistema così da dargli modo di effettuare ulteriori analisi e, se necessario, correggere il problema.
Allo stesso modo, tentativi di accesso in orari anomali o con nomi utente non esistenti, sono segnali chiari di tentativi di attacco che, se segnalati tempestivamente all’AdS, possono essere gestiti, investigati e neutralizzati prima che possano andare a buon fine.
Come difendersi: alcune best practice
Per garantire la sicurezza dell’accesso tramite protocollo RDP esistono tutta una serie di pratiche e best practice, tra queste:
- Password forti: rendi obbligatorio l’uso di password lunghe, (con almeno 12 caratteri, ad includere numeri, caratteri speciali e lettere maiuscole e minuscole), o di passphrase. Queste ultime sono parole chiave composite che, combinano parole non correlate tra loro (come, ad esempio, “cavallo slitta canarino gatti” oppure “Il cavallo galoppa lontano”), finiscono per essere particolarmente efficaci. Per quanto riguarda i nomi utenti, “administrator”, “admin” e “amministratore” sono soluzioni decisamente deboli.
- Limitazioni utente: non è necessario tutti gli account amministrativi debbano accedere al Desktop Remoto. Limita attentamente l’accesso remoto solo agli utenti che ne hanno effettiva necessità, utilizzando le impostazioni di gestione dei criteri locali e di gruppo.
- Aggiornamenti regolari: assicurati di mantenere sempre aggiornati i tuoi sistemi RDP con le patch di sicurezza più recenti. Attiva gli aggiornamenti automatici di Microsoft per garantire la protezione costante.
- Protezione del firewall: utilizza un firewall per configurare le VPN e limitare l’accesso RDP solo tramite VPN. Il firewall può inoltre essere dotato di funzionalità di IPS (Intrusione Prevention System), in grado di ridurre il rischio di attacco al servizio.
- Limitazione degli indirizzi IP: se non hai soluzioni alternative all’esposizione della porta RDP a internet, imposta delle restrizioni sull’accesso limitando gli IP di provenienza autorizzati.
- Autenticazione a più livelli: ove possibile, implementa l’autenticazione a due fattori o a più livelli per aggiungere un ulteriore strato di sicurezza.
- Implementazione di controlli: installa software di controllo che traccino le operazioni di accesso ed utilizzo delle risorse, rilevando e segnalando anomalie di utilizzo dei servizi.
A partire dalla pandemia, si è registrato su scala globale un enorme incremento di attacchi all’RDS, soprattutto in realtà in cui il servizio è stato esposto direttamente ad Internet senza l’uso di VPN. Rilevare le minacce informatiche, mettendo in atto una serie di accorgimenti e adottando i giusti strumenti tecnologici, è oggi più che mai fondamentale per le PMI. Come abbiamo visto in apertura, infatti, gli attacchi verso RDP non protette sono aumentati del 700% in un solo anno. Eppure, la fortuna di questi attacchi non dipende dall’RDP in quanto tale quanto dall’impreparazione, strutturale e tecnologica, delle PMI che spesso non sono dotate dei giusti strumenti e delle giuste competenze per garantire la sicurezza informatica dell’impresa.
Intrusa si pone l’obiettivo di fornire a queste realtà una soluzione semplice, efficace e sempre aggiornata per rilevare anomalie e mettere in luce, in tempo reale, eventuali configurazioni non del tutto sicure. Scopri la demo di Intrusa o contattaci per maggiori informazioni.