Amenazas destacadas: Las herramientas de Remote Desktop más atacadas en los últimos años.

Amenazas destacadas: Las herramientas de Remote Desktop más atacadas en los últimos años.

Remote Desktop es un software que permite a los empleados conectarse a su red informática sin la necesidad de estar físicamente vinculados al dispositivo host o incluso en la misma ubicación. Esto lo convierte en una herramienta útil para una fuerza laboral distribuida o remota.

Sin embargo, el software de escritorio remoto también es un objetivo principal para los ciberataques.

Desafíos de seguridad IT.

Uno de los desafíos de seguridad que enfrentan los equipos de TI que implementan el software de Remote Desktop es que actualmente existen muchas herramientas diferentes disponibles, cada una de las cuales utiliza puertos diferentes. Los puertos son puntos de conexión virtuales que permites a las computadoras diferencias entre diferentes tipos de tráfico. El uso de múltiples puertos puede dificultar que los equipos de seguridad TI supervisen y detecten conexiones maliciosas y las intrusiones posteriores.

 El método de ataque más simple y ubicuo utilizado contra el Remote Desktop es el uso abusivo de credenciales débiles, reutilizadas y/o suplantadas de identidad. Estos ofrecen al atacante acceso inmediato a los sistemas a los que tiene acceso el usuario. Las implementaciones de Remote Desktop también pueden ser vulnerables a vulnerabilidades de software y estafas de soporte técnico.

Las herramientas de Remote Desktop más específicas en los últimos 12 meses.

Virtual Network Computing (VNC) Ports 5800+,5900+

VNC utiliza el protocolo RFB, es una herramienta ampliamente utilizada e independiente de la plataforma. Esto permite a los usuarios y dispositivos conectarse a servidores independientemente del sistema operativo. VNC se utiliza como software base, entre otras soluciones de escritorio remoto y un uso compartido de pantalla en Apple.

También se utiliza en industrias de infraestructura critica, como las de servicios públicos, que son un objetivo cada vez mayor para los ciberataques.

Mas del 99% de estos intentos de ataque estaban dirigidos a puertos HTTP, y el 1% restante estaba dirigido a TCP (protocolo de control de transferencias). Probablemente esto se deba a que HTTP, al ser un protocolo utilizado para acceder a sitios web, no requiere una autenticación especifica a diferencia de TCP que su función principal es el intercambio de datos entre aplicaciones y dispositivos.

La mayoría de los ataques observados contra (VNC) intentaron forzar contraseñas débiles y reutilizadas. La vulnerabilidad más común de los ataques fue la CVE-2006-2369, que permite a los atacantes eludir la autenticación en RealVNC 4.1.1 de 18 años.

(VNC) abarca varias ofertas de software y cada una puede diferir ligeramente en termino de características y funcionalidad. Algunos tienen un limite de 8 caracteres para las contraseñas, lo que puede hacer que descifrar la contraseña para obtener acceso sea mucho más fácil para los atacantes. De forma predeterminada, el trafico VCN no esta cifrado, pero algunas soluciones utilizan Shell seguro, SSH o túneles VPN para cifrar el tráfico, lo que ayuda a reforzar la seguridad.

(VCN) cuenta con una variedad de puertos que puede usar. Los puertos base son de 5800 para conexiones TCP y 5900 para HTTP, pero el numero de pantalla se agrega al puerto base para permitir la conexión a diferentes pantallas. La pantalla física es =, que se asigna a los puertos base, pero las conexiones y los ataques también pueden aprovechar números de puerto mas altos. Esto complica las cosas desde una perspectiva de seguridad, ya que no hay uno o dos puertos estrictamente definidos que tener en cuenta como en otras soluciones de Remote Desktop.

Es difícil establecer con precisión el origen geográfico de los ataques porque muchos atacantes utilizan servidores proxy o VPN para disfrazar sus verdaderos orígenes. Sin embargo, dentro de esa restricción parece que alrededor del l 60% del trafico dirigido a VNC provino de China.

Remote Desktop Protocol – Port 3389.

RDP es un protocolo propietario relativamente común creado por Microsoft para Remote Desktop, represento aproximadamente el 1.6% de los intentos de ataques que detectamos. Sin embargo, cabe mencionar que los ataques a gran escala involucren a RDP que un VNC.

Los ataques de RDP se utilizan a menudo para implementar malware, normalmente Ransomware o criptomineros, o para aprovechar maquinas vulnerables como parte de ataques DDoS.

Alrededor de uno de cada seis equivalente al 15% de los intentos de ataque involucraron una cookie obsoleta. Esta puede ser una táctica deliberada para ayudar a los atacantes a identificar versiones mas antiguas por lo que el software RDP es mas vulnerable a ataques adicionales.

Al igual que otros servicios de Remote Desktop, el RDP se dirige principalmente a ataques basados en credenciales. Sin embargo, a lo largo de los años se han informado algunas vulnerabilidades graves que permiten la ejecución remota de código (RCE) en el sistema de destino. Algunas vulnerabilidades notables incluyen CVE-2018-0886, que afecto al proveedor de soporte de seguridad de credenciales (CredSSP) utilizado para la autenticación RDP; CVE-2019-0708, también conocido como BlueKeep, que podía convertirse en un gusano (aunque no se ha informado de ningún gusano en estado puro) CVE-2019-0887 que ofrecía a los atacantes un medio para escapar de las instalaciones de máquinas virtuales Hyper-V para obtener acceso al hipervisor.

También es posible que los atacantes utilicen RDP para obtener hashes de contraseñas para cuentas más privilegiadas que pueden administrar estaciones de trabajo. Esto puede ser parte de un ataque contra un sistema con un servidor RDP habilitado o para escalar privilegios al habitar RDP en un sistema que un atacante ya ha comprometido.

Sin embargo, a pesar de estas vulnerabilidades RCE potencialmente de alto riesgo, la mayoría de los intentos de explotación observados contra RDP fueron vulnerabilidades de denegación de servicio, que representaron el 9% del tráfico observado.

RDP también se utiliza en ataques de vishing (phishing de voz) de soporte de Microsoft que tiene como objetivo estafar a los usuarios convenciendo a los objetivos que su máquina tiene problemas técnicos que el atacante puede solucionar si se les habilita y se les concede acceso RDP. También existe un mercado clandestino de instancias RDP vulnerables o descifradas para que otros atacantes las utilicen como mejor les parezca, a menudo obteniendo varios dólares por instancia.

Los datos sugieren que la mayoría de los intentos de ataque contra RDP se originaron en América del Norte representando el 42% de los ataques, seguida de China y la India, aunque, como se menciono anteriormente, el uso de servidores proxy o VPN puede confundir la fuente real de los ataques.

TeamViewer – Port 5938.

Los ataques dirigidos a TeamViewer representaron el 0.1% del trafico malicioso en todos los puertos de escritorio remoto cubiertos por nuestras fuentes de datos. Los pocos ataques detectados involucraron la vulnerabilidad Log4Shell y parecían apuntar al centro de administración central de la herramienta, el Frontline Command Center, que parece ser la única aplicación TeamViewer que utiliza Java.

Las versiones mas recientes de TeamViewer están dirigidas al uso empresarial y a la integración con Microsoft Teams, Salesforce y ServiceNow, entre otros. Como oferta empresarial. TeamViewer ofrece mas funciones de seguridad, como huellas dactilares del dispositivo, credenciales generadas automáticamente (que evitan contraseñas débiles o reutilizadas), retroceso exponencial para credenciales incorrectas (aumentando exponencialmente el tiempo de espera cada vez que se utilizan credenciales incorrectas, lo que protege contra ataques brutales).

Sin embargo, a pesar de estas protecciones, TeamViewer a veces todavía se utiliza o es blanco de ataques. A menudo, esto se debe a credenciales compartidas de forma insegura o suplantas de identidad. TeamViewer también se utiliza a veces en estafas de soporte técnico.

Además del puerto 5938, también se pueden utilizar los puertos 80 y 443 con TeamViewer. Esto dificulta que el equipo de seguridad detecte conexiones maliciosas en la red.

Independent Computing Architecture (ICA) – Ports 1494, 2598.

ICA es un protocolo de Remote Desktop creado por Citrix como alternativa a RDP, aunque las soluciones Citrix que utilizan ICA normalmente también admiten RDP. El puerto 1494 se utiliza para conexiones ICA entrantes. ICA también se puede encapsular en el protocolo Common Gateway de Citrix, que utiliza el puerto 2598. Algunas versiones anteriores del cliente ICA tenían vulnerabilidades RCE. Una vulnerabilidad RCE más general, CVE-2023-3519, también afecto al proxy ICA y los atacantes la utilizaron para crear shells web en los sistemas infectados.

AnyDesk – Port 6568.

Se ha utilizado para estafas de soporte técnico, así como para estafas de servicio al cliente de banca móvil. Se incluyo en algunas variantes de Ransomware en 2018, posiblemente para confundir a los sistemas de detección de malware es el verdadero propósito del malware. Además del puerto 6568, también puede utilizar los puertos 80 o 443.

Splashtop Remote – Port 6783.

Aunque represento el menor trafico de intentos de ataque entre las soluciones de escritorio remoto, Splashtop Remote se ha utilizado en estafas de soporte. También puede verse comprometido mediante credenciales débiles, reutilizadas o suplantadas.

Reducir el riesgo.

Las soluciones de seguridad de defensa en profundidad que puedan detectar trafico de puertos sospechosos en la red son fundamentales. Esto debería complementarse con políticas y programas de seguridad sólidos, como restringir el acceso a servicios remotos a quienes lo necesiten, utilizar conexiones seguras como una VPN y actualizar periódicamente el software con los últimos parches. Los métodos de autenticación deben incluir el uso de contraseñas seguras con autenticación Multifactor (MFA) como mínimo. Lo ideal sería adoptar un enfoque de Zero Trust.

La estandarización de una solución de Remote Desktop especifica en toda la organización permitirá al equipo de TI concentrar los recursos en administrar, monitorear y proteger los puertos asociados, bloqueando otro tráfico.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

 

 

 

 

JR

Regresar al blog