La técnica ‘network tunneling’ cada vez está siendo más utilizada para ataques que usan RDP
Remote Desktop Protocol (RDP) es un componente de Windows diseñado para proporcionar a los administradores y usuarios una vía de acceso remota a sus sistemas. Acorde a especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que hackers maliciosos han estado abusando de esta característica para atacar los sistemas vulnerables, ya que en ocasiones esta clase de ataques pueden ser más difíciles de detectar que un backdoor.
“Los usuarios maliciosos recurren al uso del RDP debido a su estabilidad y funcionalidad por encima de un backdoor. Hemos detectado que los hackers usan las funciones nativas del Windows RDP para conectarse lateralmente a través de sistemas en entornos comprometidos”, comentan los especialistas.
Según los especialistas en seguridad en redes, el acceso a un sistema vía RDP permite a los atacantes ganar persistencia, aunque depende de un vector de ataque adicional para entrar en el sistema comprometido, como un ataque de phishing, por ejemplo. Además, los atacantes han recurrido cada vez más a la ‘tunelización de la red’ y al reenvío de puertos basado en el host.
Gracias a esto, los atacantes pueden establecer una conexión con un servidor remoto bloqueado por un firewall para explotar esa conexión y usarla como medio de transporte para ‘cavar un túnel’ hacia los servicios locales a través del firewall.
Una utilidad que se usa para canalizar sesiones RDP es PuTTY Link, o Plink, que permite a los atacantes establecer conexiones SSH a otros sistemas. Acorde a los expertos en seguridad en redes, dado que muchos entornos no inspeccionan los protocolos o no bloquean las comunicaciones SSH que salen de su red, los atacantes pueden usar la herramienta para crear túneles cifrados y establecer conexiones RDP con C&C.
Por otra parte, las sesiones RDP también permiten a los atacantes moverse lateralmente a través de un entorno; los atacantes pueden usar el comando nativo de Shell de red en Windows (netsh) para usar el reenvío de puertos RDP para descubrir redes segmentadas.
Los mecanismos de prevención y detección en host y en red deben proporcionar a las organizaciones las defensas necesarias para mitigar esta clase de ataques, afirman los expertos.
Asimismo, deshabilitar el RDP cuando no se use, habilitar las reglas del firewall en host para prohibir las conexiones RDP entrantes son consejos útiles para reforzar la prevención de riesgos.
Por otra parte, a nivel de red los administradores deben hacer cumplir las conexiones RDP desde un buzón designado o un servidor de administración central, evitar que se usen cuentas privilegiadas para RDP, revisar las reglas del firewall para identificar vulnerabilidades de reenvío de puertos e inspeccionar el contenido del tráfico de red.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad