Incluso los usuarios más optimistas tendrán que admitir que han sido unas cuantas semanas estresantes para cualquiera que confíe en el Protocolo de Escritorio Remoto (RDP) de Microsoft.

La última ronda de malas noticias surgió la semana pasada cuando el investigador de Morphus Labs, Renato Marinho, anunció el descubrimiento de un ataque agresivo de fuerza bruta contra 1,5 millones de servidores RDP por parte de una botnet llamada “GoldBrute”.

Eso ocurrió poco después del aviso urgente de Microsoft de mayo, sobre una vulnerabilidad peligrosa de “tipo gusano” llamada BlueKeep en los Servicios de Escritorio Remoto (RDS) de Windows XP y 7 que utiliza RDP.

Incrementando la preocupación, dos semanas después de la alerta inicial, Microsoft emitió otra cuando descubrió que al menos un millón de sistemas vulnerables aún no habían aplicado el parche existente.

El 4 de junio, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) emitió su propia apocalíptica alerta sobre BlueKeep, estaba claro que creían que se estaba gestando algo importante.

Está detrás de ti

El mega ataque que explota a BlueKeep aún no se ha materializado, pero lo que mientras tanto ha surgido es GoldBrute, una amenaza mucho más básica que ataca el problema de los servidores RDP, que quedan expuestos en Internet.

Una búsqueda en Shodan sitúa la cantidad de servidores en este estado vulnerable en 2,4 millones, 1.596.571 de los cuales, según descubrió Morphus, habían sido sometidos a un intento de ataque de fuerza bruta que tenía como objetivo obtener credenciales débiles.

En cada servidor donde tiene éxito, el comando y el control carga el código de GoldBrute en formato zip, que lo utiliza como plataforma de lanzamiento para más exploraciones de servidores RDP, seguido de una nueva lista de IP y servidores para continuar realizando ataques de fuerza bruta. Según Marinho: »Cada bot solo intenta un nombre de usuario y una contraseña por objetivo. Esta es posiblemente una estrategia para volar bajo el radar de las herramientas de seguridad, ya que cada intento de autenticación proviene de diferentes direcciones».

Morphus no sabe cuántos ataques tuvieron éxito, lo cual es necesario para estimar el tamaño del bot. Sin embargo, realizaron la geolocalización de los servidores en la lista de objetivos globales siendo los principales países afectados China (876.000 servidores) y EEUU (434.000). »GoldBrute usa su propia lista y la aumenta a medida que continúa escaneando y creciendo».

RDP ha tenido problemas a lo largo de los años: en 2017 lo denominamos “Ransomware Desktop Protocol” en honor a su uso por parte de programas maliciosos de extorsión, pero los eventos de las últimas semanas sugieren que la amenaza está empeorando o, al menos, tiene un perfil más alto.

Lo que no conoces puede dañarte

Inevitablemente, algunos de los servidores que aparecen en Shodan simplemente han sido encendidos y olvidados, exponiendo a sus propietarios al peligro del riesgo de “fuera de la vista, fuera de la mente”. La primera tarea, entonces, es ver si lo mismo ocurre en su red.

Si no se necesita RDP, desactívelo mientras no se esté utilizando, tal vez establecer una regla de firewall para bloquear RDP en el puerto 3389 sea una medida segura.

Si se necesita RDP, considere usarlo a través de una VPN para que no esté expuesto en Internet.

Idealmente, también active alguna forma de autenticación multifactor de red que reduzca drásticamente el riesgo en caso de que las credenciales del servidor se vean comprometidas de alguna manera.

Normalmente, es una buena idea limitar el número de veces que se pueden intentar introducir la contraseña, aunque, como se señaló anteriormente, GoldBrute está intentando volar bajo el radar al limitarse a un intento por host comprometido.

Si hay una buena noticia con respecto a las amenazas de RDP, es que están saliendo a la luz antes del ataque masivo, y esto significa que aún hay tiempo para actuar.