© Inforc Ecuador 2020 - Todos los Derechos Reservados

  • LinkedIn - Inforc Ecuador
  • Twitter - Inforc Ecuador
  • Facebook Inforc Ecuador
  • Equipo Inforc Ecuador

Bloquear el protocolo de escritorio remoto (RDP)

El escritorio remoto es una tecnología muy útil que permite a un usuario ingresar a la interfaz gráfica de un computador o servidor, tal como si estuviera haciéndolo desde el terminal físico. Esto constituye una aplicación muy útil para la administración de servidores y equipos a los cuales no podemos acceder directamente.

RDP (Remote Desktop Protocol) es un protocolo propietario desarrollado por Microsoft que permite la comunicación entre una terminal y un servidor Windows en la ejecución de aplicaciones. Significa que se podrá acceder de forma remota a equipos de cómputo sin estar físicamente delante de estos.


El acceso remoto sigue el modelo cliente-servidor. El equipo al que se desea acceder es el servidor, y los dispositivos que se conectan a él son los clientes. Al habilitar esta funcionalidad, se «abre» en el servidor un puerto, comúnmente el 3389. Los puertos pueden entenderse como las vías de entrada y salida de información a Internet. Si una comunicación no se realiza en el puerto correcto, será denegada.


El funcionamiento del protocolo es el siguiente, la información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al cliente, que interpretará la información contenida para reconstruir la imagen a mostrar en la pantalla. En cuanto a la introducción de órdenes por parte del usuario, lo que pulse en el teclado y los movimientos del mouse serán redirigidos al servidor. Para un mejor rendimiento en redes menos veloces, el protocolo permite que toda la información que intercambien cliente y servidor se comprima.


A diferencia de otras herramientas de acceso remoto, RDP generalmente no requiere nada más que un nombre de usuario y contraseña y, a menudo, el nombre de usuario se deja expuesto (para que sea más fácil iniciar sesión la próxima vez). RDP incluso ha sufrido vulnerabilidades a lo largo del tiempo que permiten el acceso sin ninguna credencial.


El uso indebido de RDP cae en algunas técnicas diferentes de MITRE ATT&CK, pero la principal sería la T1133 (servicios remotos externos). Otras técnicas MITRE ATT&CK que involucran RDP incluyen:

  • T1563 – Secuestro de RDP

  • T1021 – Movimiento lateral con RDP

  • T1572 – Túnel sobre RDP

  • T1573 – Comando y control sobre RDP

  • T1078 – Uso de cuentas válidas con RDP

  • T1049 – Descubrimiento de conexiones de red del sistema

  • T1071 – Protocolo de capa de aplicación

Una vez que un ciberdelincuente ha iniciado sesión con éxito en una sesión de RDP, es lo más cerca posible de sentarse literalmente frente al teclado y el ratón, y ni siquiera el centro de datos más seguro físicamente del mundo puede ayudar.


El RDP expuesto externamente tiene una solución fácil: simplemente no lo expongas. No reenvíes el puerto TCP:3389 en su firewall a algo. Si bien la cura parece simple, Shodan.IO (un motor de búsqueda para Internet de las cosas) muestra más de 3,3 millones de puertos RDP 3389 expuestos a nivel mundial y fáciles de encontrar.


¿Por qué es tan popular? Permitir el acceso a RDP es una manera rápida y fácil de dejar que alguien proporcione la administración remota del sistema, como un proveedor de servicios administrados para administrar el servidor de un cliente o un dentista para acceder al sistema de su oficina desde casa.


Si se necesita acceso remoto a RDP o servicios de terminal, solo deben ser accesibles a través de una VPN segura (con autenticación multifactor) a la red corporativa o mediante una puerta de enlace de acceso remoto de confianza cero o Zero Trust.


Más información en https://www.inforc.lat/portafolio


En Inforc Ecuador, creemos en la ciberseguridad.

13 vistas