Rischi per la sicurezza del PSR

Cos'è il PSR?

RDP, o Remote Desktop Protocol, è uno dei principali protocolli utilizzati per le sessioni di desktop remoto. È in questo momento che i dipendenti accedono al desktop dell'ufficio da un altro dispositivo. RDP è incluso nella maggior parte dei sistemi operativi Windows e può essere utilizzato anche con i Mac. Molte aziende si affidano a RDP per consentire ai propri dipendenti di lavorare da casa.

RDP (Remote Desktop Protocol) è uno dei principali protocolli utilizzati per le sessioni di desktop remoto

Quali sono le principali vulnerabilità della sicurezza RDP?

Le vulnerabilità sono errori nel modo in cui viene costruito un software, che consentono agli aggressori di ottenere un accesso non autorizzato. Consideralo come un catenaccio installato in modo errato sulla porta d'ingresso di una casa, che consente ai criminali di entrare.

Queste sono le vulnerabilità più importanti in RDP:

1. Credenziali utente deboli

La maggior parte dei computer desktop sono protetti da password e gli utenti in genere possono impostarli come desiderano. Il problema è che gli utenti spesso utilizzano la stessa password anche per gli accessi remoti RDP. Le aziende in genere non gestiscono queste password per garantirne la robustezza e spesso lasciano queste connessioni remote aperte ad attacchi di forza bruta o credential stuffing .

• Riepilogo di come creare password complesse e gestire le password in modo più sicuro

2. Accesso illimitato alle porte

Le connessioni RDP avvengono quasi sempre sulla porta 3389*. Gli aggressori potrebbero presumere che questa sia la porta utilizzata e prenderla di mira per effettuare attacchi.

* In una rete, un gateway è una posizione logica, basata su software, assegnata a determinati tipi di connessioni. Assegnare processi diversi a porte diverse aiuta il computer a tenere traccia di tali processi. Ad esempio, il traffico HTTP va sempre alla porta 80, mentre il traffico HTTPS va sempre alla porta 443.

Quali sono alcuni modi per affrontare queste vulnerabilità RDP?

• Per ridurre la prevalenza di credenziali deboli:

Accesso singolo (SSO)

Molte aziende hanno utilizzato i servizi SSO per gestire le informazioni di accesso degli utenti per varie applicazioni. L'SSO fornisce alle aziende un modo più semplice per imporre l'uso di password complesse, oltre a implementare misure più sicure come l'autenticazione a due fattori (2FA) . L'accesso remoto RDP può essere spostato dietro il processo SSO per risolvere la vulnerabilità dell'accesso utente descritta sopra.

Gestione e applicazione delle password

Per alcune aziende, spostare l'accesso remoto RDP dietro il processo SSO potrebbe non essere un'opzione. Come minimo, queste aziende dovrebbero richiedere ai dipendenti di reimpostare le password del desktop con qualcosa di più forte.

• Per proteggersi dagli attacchi basati sulle porte:

Blocca la porta 3389

Il software di tunneling sicuro può aiutare a impedire agli aggressori di inviare richieste alla porta 3389. Con un tunneling sicuro, tutte le richieste che non passano attraverso il tunnel verranno bloccate.

Regole del firewall

Il firewall aziendale può essere configurato manualmente in modo che non possa passare alcun traffico sulla porta 3389, ad eccezione del traffico proveniente dagli intervalli di indirizzi IP consentiti (ad esempio, dispositivi noti per appartenere al dipendente).

Tuttavia, questo metodo richiede molto impegno manuale ed è comunque vulnerabile nel caso in cui gli aggressori si impossessino degli indirizzi IP autorizzati o dei dispositivi dei dipendenti compromessi. Inoltre, è spesso difficile identificare e abilitare in anticipo tutti i dispositivi dei dipendenti, il che porta a continue richieste IT da parte dei dipendenti bloccati.

RDP presenta anche una serie di altre vulnerabilità e la maggior parte di queste può essere eliminata utilizzando sempre la versione più recente del protocollo.

Quali altre vulnerabilità presenta RDP?

RDP presenta altre vulnerabilità tecniche che sono state tecnicamente corrette, ma rimangono gravi se lasciate deselezionate.

Una delle vulnerabilità più gravi in ​​RDP si chiama "BlueKeep". BlueKeep (ufficialmente classificato come CVE-2019-0708) è una vulnerabilità che consente agli aggressori di eseguire qualsiasi codice desiderino su un computer, se inviano una richiesta appositamente predisposta alla porta corretta (di solito è 3389). BlueKeep è wormable , ovvero può diffondersi a tutti i computer della rete senza alcuna azione da parte dell'utente.

La migliore protezione contro questa vulnerabilità consiste nel disabilitare RDP a meno che non sia necessario. Potrebbe essere utile anche bloccare la porta 3389 utilizzando un firewall. Infine, Microsoft ha rilasciato una patch che risolve questa vulnerabilità nel 2019 ed è essenziale che gli amministratori di sistema installino questa patch.

Come qualsiasi altro programma o protocollo, anche RDP presenta alcune altre vulnerabilità e la maggior parte di queste vulnerabilità può essere eliminata utilizzando sempre la versione più recente del protocollo. I fornitori spesso risolvono le vulnerabilità in ogni nuova versione del software rilasciata.