Escritorios Remotos: Una ventana al ciberataque

Cada vez el trabajo remoto toma más fuerza, esto facilitado por las tecnologías de la nube. Esta descentralización del trabajo permite una mayor flexibilidad que en ciertos casos aumenta la productividad. Pero para hacerlo, estas herramientas utilizan protocolos que permiten la conexión entre el servidor y el terminal del cliente ¿Existen riesgos? ¿Qué tan seguro son estos protocolos? Hoy veremos los protocolos de comunicación utilizados y sus debilidades.

Escritorios Remotos

Sin duda la llegada de los escritorios remotos ha alegrado a más de un trabajador. Y es que esta tecnología permite a un usuario trabajar en un equipo, a través de su escritorio gráfico, desde otro terminal ubicado en otro lugar. Así, por ejemplo, podríamos desde nuestro hogar poder conectarnos a la oficina para resolver algún problema.

Pero lo cierto es que abrir la puerta hacia Internet implica un alto riesgo, y por lo mismo, hacerlo sin las medidas de seguridad lo convierte automáticamente en un objetivo para los ciberdelincuente. Y debido a que no se le da la importancia necesaria a estas situaciones, es que no solo las personas quedan expuestas, sino que también las empresas.

Protocolos de Comunicación

La clave en la implementación de los escritorios remotos recae fundamentalmente en la implementación de protocolos de comunicaciones. Estos irán variando dependiendo del programa que se use. Entre los principales encontramos:

  • ICA (Independent Computing Architecture)
  • AIP (adaptive Internet Protocol)
  • VNC (Virtual Network Computing)
  • RDP (Remote Desktop Protocol)

Dentro de los nombrados, uno que puede ser de nuestro interés es el RDP, y es que este protocolo fue desarrollado por Microsoft y permite la comunicación entre un terminal (que muestra la información procesada que recibe del servidor) y un servidor Windows (que va recibiendo la información dad por el usuario en la terminal mediante el teclado o el ratón). Punto importante a considerar es que este protocolo es el que más utilizan las empresas para dar acceso a documentos, aplicaciones y escritorios virtuales de forma remota.

Remote Desktop Connection en Windows

Pero antes de seguir hablando de él, debemos tener claro que el correcto funcionamiento de los escritorios remotos pasa por los requisitos que debe cumplir el protocolo utilizado:

  • Latencia. El retardo de la comunicación debe ser el mínimo.
  • Balanceo. Debe existir un balanceo entre cliente y servidor.
  • Representación gráfica. Existen distintos tipos de visualización del escritorio remoto (Alto nivel, Bajo nivel, primitivas de dibujos en 2D y pixels en bruto).
  • Sincronización. Debe existir una sincronización entre lo que ocurre en la terminal y el servidor.

Vulnerabilidades

Bien, hasta el momento hemos hablado sobre las generalidades de los escritorios remotos, cómo operan, qué protocolos utilizan y cuáles son los beneficios que nos han traído en la actualidad. Pero lo cierto es que toda tecnología tiene un lado B, y debido al auge del uso de ella, los ciberdelincuentes han puesto ojo en los fallos de seguridad que pudieran tener.

Dentro de los que más han causado ruido este año, encontramos a la vulnerabilidad BlueKeep, registrada como CVE-2019-0708, que afecta al protocolo RDP, es decir, a los servicios de escritorio remoto de Windows. Su criticidad recae en que permite ejecutar código de forma remota en cualquier equipo, lo que implica otorgarle el poder al atacante para distribuir códigos maliciosos con privilegios de administrador, y sin necesidad de interactuar con el usuario en ningún caso.

Si bien no se ha divulgado mucha información oficial sobre esta vulnerabilidad, fue cuestión de horas para que algunos usuarios divulgaran por internet distintas pruebas de concepto (PoC) que buscaban aprovecharse de esta vulnerabilidad; pero peor aún, han aparecido exploits de manera pública que buscan atacar el protocolo RDP.

¿Qué podemos hacer? Algunas recomendaciones que puedes seguir son las siguientes:

  • Deshabilita el los servicios de escritorio remoto si no vas a utilizarlo. ¿Por qué abrir una ventana que sabemos que no vamos a utilizar? 
  • Una buena práctica es agregar la autenticación a nivel de red. Esto obligará a que la persona que quiera conectarse, deba poseer credenciales de acceso válidas.
  • RDP hace uso del puerto TCP 3389, por lo que bloquear este puerto en los firewall expuestos a internet es una buena práctica para evitar intentos de conexión ¡Crea reglas específicas!
  • ¡Actualizar! Instala las actualizaciones que parchean estas vulnerabilidades.

Y sí, BlueKeep puede llegar a causarnos más de un dolor de cabeza si no sabemos defendernos, pero hay más de un ataque, y este último tiempo ha sido el ataque GoldBrute el que se está tomando la agenda ¡Y no es nada sencillo!

Por lo que se ha podido determinar, GoldBrute, lo que hace es crear una Botnet que busca por internet máquinas que tengan activado el protocolo de escritorio remoto, y las va recopilando. Pero ¿Cómo?

Una vez detectada una potencial máquina víctima, por medio de de un ataque de fuerza bruta, se busca lograr el acceder al escritorio remoto. El problema es que ingresar una y otra vez distintas combinaciones, desde un mismo equipo , causaría inmediatamente sospechas. Es aquí donde el ataque hace uso de una botnet, pues así el ataque de fuerza bruta lo puede realizar desde cientos de equipos infectados, y así no generará sospechas. 

Ya logrado el acceso al equipo, se descarga el código del bot y éste se transforma en un nuevo miembro de la botnet que comenzará a buscar otras víctimas. ¿Quienes son los receptores de los archivos obtenidos? No se sabe, pero se asume que ciberdelincuentes venden los datos de acceso a los equipos infectados. Y si consideramos que existen cerca de 2.9 millones de máquinas con su conexión de escritorio remoto activada, podemos llegar a pensar estamos frente a una nueva gran amenaza mundial (Tal como lo fue Wanna Cry).

El Objetivo: malware

Conseguido el acceso al equipo de la víctima, estos ataques siempre tiene como objetivo el poder infectar con un malware el equipo víctima. Y como sabemos, estos pueden ir desde ransomware, cryptojacking, spyware, etc.