L'autenticazione utente debole e il targeting delle porte sono due delle principali vulnerabilità presenti nel protocollo desktop remoto (RDP).
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è il protocollo RDP?
Sicurezza della forza lavoro che opera da remoto
Controllo degli accessi
Che cos'è l'IAM?
Accesso remoto ai sensi del GDPR
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Il protocollo desktop remoto, o RDP è uno dei principali protocolli utilizzati per le sessioni di desktop remoto, ovvero quando i dipendenti accedono ai computer desktop dell'ufficio da un altro dispositivo. RDP è incluso nella maggior parte dei sistemi operativi Windows e può essere utilizzato anche con i Mac. Molte aziende si affidano a RDP per consentire ai propri dipendenti di lavorare da casa.
Una vulnerabilità è una lacuna o un errore nella costruzione di un software che permette agli aggressori di ottenere un accesso non autorizzato. Immagina un catenaccio installato in modo improprio sulla porta d'ingresso di una casa, che permette ai criminali di introdursi.
Queste sono le vulnerabilità più importanti in RDP:
*Nel contesto delle reti, una porta è una posizione logica basata su software designata per determinati tipi di connessioni. L'assegnazione di processi diversi a porte diverse consente ai computer di tenere traccia di tali processi. Ad esempio, il traffico HTTP va sempre alla porta 80, mentre il traffico HTTPS va alla porta 443.
Per ridurre la diffusione di credenziali di accesso deboli:
Single sign-on (SSO): molte aziende utilizzano già i servizi SSO per gestire gli accessi degli utenti per varie applicazioni. SSO offre alle aziende un modo più semplice per applicare l'utilizzo di password complesse, oltre a implementare misure ancora più sicure come l'autenticazione a due fattori. È possibile spostare l'accesso remoto RDP dietro SSO per rafforzare la protezione dagli accessi utente vulnerabili descritti in precedenza. Cloudflare Zero Trust, ad esempio, consente alle aziende di farlo.
Gestione e applicazione delle password: per alcune aziende, spostare RDP dietro SSO potrebbe non essere un'opzione. Come minimo, dovrebbero richiedere ai dipendenti di reimpostare le password dei computer desktop con password più complesse.
Per proteggersi dagli attacchi basati su porta:
Bloccare la porta 3389: un software di tunneling sicuro può impedire agli aggressori di inviare richieste che raggiungano la porta 3389. Con un tunnel sicuro (ad esempio, Cloudflare Tunnel) attivo, tutte le richieste che non passano attraverso il tunnel verranno bloccate.
Regole firewall: potrebbe essere possibile configurare manualmente un firewall aziendale in modo che nessun traffico verso la porta 3389 possa passare, ad eccezione del traffico proveniente da intervalli di indirizzi IP consentiti (ad esempio, i dispositivi noti per appartenere ai dipendenti). Tuttavia, questo metodo richiede un notevole sforzo manuale ed è comunque vulnerabile agli attacchi nel caso in cui gli aggressori dirottino un indirizzo IP autorizzato o i dispositivi dei dipendenti vengano compromessi. Inoltre, è in genere molto difficile identificare e inserire in whitelist in anticipo tutti i dispositivi dei dipendenti, il che comporta continue richieste al reparto IT da parte dei dipendenti bloccati.
RDP presenta altre vulnerabilità che sono state tecnicamente corrette, ma che restano comunque gravi se non controllate.
Una delle vulnerabilità più gravi in RDP è denominata "BlueKeep". BlueKeep (classificata ufficialmente come CVE-2019-0708) è una vulnerabilità che consente agli autori degli attacchi di eseguire qualsiasi codice vogliano su un computer, inviando una richiesta appositamente predisposta alla porta corretta (solitamente la 3389). BlueKeep è wormable, il che significa che può diffondersi a tutti i computer all'interno di una rete senza che gli utenti debbano fare nulla.
La difesa migliore contro questa vulnerabilità è disabilitare RDP a meno che non sia necessario. Può essere utile anche bloccare la porta 3389 tramite un firewall. Infine, nel 2019, Microsoft ha rilasciato una patch che corregge questa vulnerabilità; è essenziale che gli amministratori di sistema installino tale patch.
Come qualsiasi altro programma o protocollo, anche RDP presenta diverse vulnerabilità, e la maggior parte di queste può essere eliminata utilizzando sempre la versione più recente del protocollo. In genere, i fornitori patchano le vulnerabilità in ogni nuova versione del software che rilasciano.
Per semplificare e proteggere l'accesso RDP, Cloudflare ha creato un proxy RDP ad alte prestazioni che integra i controlli di sicurezza Zero Trust della nostra piattaforma SASE. Cloudflare ora offre un accesso RDP clientless e basato su browser: non sono necessarie infrastrutture aggiuntive, né configurazioni aggiuntive sul dispositivo client. Scopri di più sulla piattaforma SASE di Cloudflare e sull'accesso RDP.
RDP è uno standard tecnico comune che consente alle persone di utilizzare un computer da una posizione diversa. Le aziende usano spesso questo protocollo per consentire ai dipendenti di accedere ai computer dell'ufficio mentre lavorano da casa.
I due rischi più significativi sono credenziali di accesso deboli e accesso illimitato alla porta 3389. Poiché molte organizzazioni non gestiscono le password RDP attraverso sistemi centralizzati, gli utenti spesso utilizzano password semplici o riutilizzate che sono facili da indovinare per gli aggressori. Inoltre, poiché RDP utilizza la porta 3389, gli aggressori possono prendere di mira questa porta specifica per lanciare attacchi o ottenere accessi non autorizzati.
BlueKeep è una vulnerabilità di sicurezza critica, ufficialmente etichettata come CVE-2019-0708, che consente agli aggressori di eseguire codice non autorizzato su un computer inviando un tipo specifico di richiesta alla sua porta RDP. Questa vulnerabilità è "propagabile tramite worm", ovvero può diffondersi automaticamente in un'intera rete ad altri computer senza alcun intervento da parte dell'utente.
L'integrazione di RDP con un servizio SSO consente alle organizzazioni di proteggere l'accesso remoto tramite un processo di login più sicuro. Ciò consente alle aziende di imporre requisiti di password più rigorosi e di implementare ulteriori livelli di sicurezza, come l'autenticazione a due fattori (2FA), per verificare l'identità di un utente in modo più efficace.
Le organizzazioni possono proteggere questa porta utilizzando un software di tunneling sicuro che blocca tutte le richieste che non viaggiano attraverso un percorso sicuro designato. Un’altra opzione è impostare regole del firewall che consentano solo il traffico proveniente da indirizzi IP specifici e attendibili, sebbene questo metodo possa essere difficile da gestire manualmente per i team di grandi dimensioni.
Cloudflare fornisce un proxy RDP veloce che applica i controlli di sicurezza Zero Trust a ogni connessione. Grazie a strumenti come Cloudflare Access e tunnel sicuri, le aziende possono nascondere le proprie risorse RDP dall'Internet pubblico e garantire che solo gli utenti autenticati con le autorizzazioni corrette possano accedervi.