Quali sono i rischi per la sicurezza di RDP? | Vulnerabilità RDP

L'autenticazione utente debole e il targeting delle porte sono due delle principali vulnerabilità presenti nel protocollo desktop remoto (RDP).

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Comprendere i rischi del protocollo desktop remoto (RDP)
  • Scoprire come proteggersi da queste vulnerabilità
  • Scoprire la soluzione di Cloudflare per la sicurezza RDP

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è il RDP?

Il protocollo desktop remoto, o RDP è uno dei principali protocolli utilizzati per le sessioni di desktop remoto, ovvero quando i dipendenti accedono ai computer desktop dell'ufficio da un altro dispositivo. RDP è incluso nella maggior parte dei sistemi operativi Windows e può essere utilizzato anche con i Mac. Molte aziende si affidano a RDP per consentire ai propri dipendenti di lavorare da casa.

Quali sono le principali vulnerabilità di sicurezza di un RDP?

Una vulnerabilità è una lacuna o un errore nella costruzione di un software che permette agli aggressori di ottenere un accesso non autorizzato. Immagina un catenaccio installato in modo improprio sulla porta d'ingresso di una casa, che permette ai criminali di introdursi.

Queste sono le vulnerabilità più importanti in RDP:

  1. Credenziali di accesso utente deboli. La maggior parte dei computer desktop è protetta da una password e, in genere, gli utenti possono impostare la password che preferiscono. Il problema è che spesso la stessa password viene utilizzata anche per gli accessi remoti RDP. Le aziende in genere non gestiscono queste password per garantirne la sicurezza e spesso lasciano queste connessioni remote esposte ad attacchi di forza bruta o di sottrazione e uso illecito delle credenziali.
  2. Accesso alla porta illimitato. Le connessioni RDP avvengono quasi sempre sulla porta 3389*. Gli aggressori possono presumere che questa sia la porta in uso e prenderla di mira per eseguire, tra gli altri, attacchi di interposizione.

*Nel contesto delle reti, una porta è una posizione logica basata su software designata per determinati tipi di connessioni. L'assegnazione di processi diversi a porte diverse consente ai computer di tenere traccia di tali processi. Ad esempio, il traffico HTTP va sempre alla porta 80, mentre il traffico HTTPS va alla porta 443.

Quali sono alcuni modi per affrontare queste vulnerabilità RDP?

Per ridurre la diffusione di credenziali di accesso deboli:

Single sign-on (SSO): molte aziende utilizzano già i servizi SSO per gestire gli accessi degli utenti per varie applicazioni. SSO offre alle aziende un modo più semplice per applicare l'utilizzo di password complesse, oltre a implementare misure ancora più sicure come l'autenticazione a due fattori. È possibile spostare l'accesso remoto RDP dietro SSO per rafforzare la protezione dagli accessi utente vulnerabili descritti in precedenza. Cloudflare Zero Trust, ad esempio, consente alle aziende di farlo.

Gestione e applicazione delle password: per alcune aziende, spostare RDP dietro SSO potrebbe non essere un'opzione. Come minimo, dovrebbero richiedere ai dipendenti di reimpostare le password dei computer desktop con password più complesse.

Per proteggersi dagli attacchi basati su porta:

Bloccare la porta 3389: un software di tunneling sicuro può impedire agli aggressori di inviare richieste che raggiungano la porta 3389. Con un tunnel sicuro (ad esempio, Cloudflare Tunnel) attivo, tutte le richieste che non passano attraverso il tunnel verranno bloccate.

Regole firewall: potrebbe essere possibile configurare manualmente un firewall aziendale in modo che nessun traffico verso la porta 3389 possa passare, ad eccezione del traffico proveniente da intervalli di indirizzi IP consentiti (ad esempio, i dispositivi noti per appartenere ai dipendenti). Tuttavia, questo metodo richiede un notevole sforzo manuale ed è comunque vulnerabile agli attacchi nel caso in cui gli aggressori dirottino un indirizzo IP autorizzato o i dispositivi dei dipendenti vengano compromessi. Inoltre, è in genere molto difficile identificare e inserire in whitelist in anticipo tutti i dispositivi dei dipendenti, il che comporta continue richieste al reparto IT da parte dei dipendenti bloccati.

Quali altre vulnerabilità presenta RDP?

RDP presenta altre vulnerabilità che sono state tecnicamente corrette, ma che restano comunque gravi se non controllate.

Una delle vulnerabilità più gravi in RDP è denominata "BlueKeep". BlueKeep (classificata ufficialmente come CVE-2019-0708) è una vulnerabilità che consente agli autori degli attacchi di eseguire qualsiasi codice vogliano su un computer, inviando una richiesta appositamente predisposta alla porta corretta (solitamente la 3389). BlueKeep è wormable, il che significa che può diffondersi a tutti i computer all'interno di una rete senza che gli utenti debbano fare nulla.

La difesa migliore contro questa vulnerabilità è disabilitare RDP a meno che non sia necessario. Può essere utile anche bloccare la porta 3389 tramite un firewall. Infine, nel 2019, Microsoft ha rilasciato una patch che corregge questa vulnerabilità; è essenziale che gli amministratori di sistema installino tale patch.

Come qualsiasi altro programma o protocollo, anche RDP presenta diverse vulnerabilità, e la maggior parte di queste può essere eliminata utilizzando sempre la versione più recente del protocollo. In genere, i fornitori patchano le vulnerabilità in ogni nuova versione del software che rilasciano.

In che modo Cloudflare aiuta a proteggere l'accesso RDP?

Per semplificare e proteggere l'accesso RDP, Cloudflare ha creato un proxy RDP ad alte prestazioni che integra i controlli di sicurezza Zero Trust della nostra piattaforma SASE. Cloudflare ora offre un accesso RDP clientless e basato su browser: non sono necessarie infrastrutture aggiuntive, né configurazioni aggiuntive sul dispositivo client. Scopri di più sulla piattaforma SASE di Cloudflare e sull'accesso RDP.

DOMANDE FREQUENTI

Cos'è il protocollo desktop remoto (RDP)?

RDP è uno standard tecnico comune che consente alle persone di utilizzare un computer da una posizione diversa. Le aziende usano spesso questo protocollo per consentire ai dipendenti di accedere ai computer dell'ufficio mentre lavorano da casa.

Quali sono le principali vulnerabilità di sicurezza associate a RDP?

I due rischi più significativi sono credenziali di accesso deboli e accesso illimitato alla porta 3389. Poiché molte organizzazioni non gestiscono le password RDP attraverso sistemi centralizzati, gli utenti spesso utilizzano password semplici o riutilizzate che sono facili da indovinare per gli aggressori. Inoltre, poiché RDP utilizza la porta 3389, gli aggressori possono prendere di mira questa porta specifica per lanciare attacchi o ottenere accessi non autorizzati.

Cos'è la vulnerabilità BlueKeep?

BlueKeep è una vulnerabilità di sicurezza critica, ufficialmente etichettata come CVE-2019-0708, che consente agli aggressori di eseguire codice non autorizzato su un computer inviando un tipo specifico di richiesta alla sua porta RDP. Questa vulnerabilità è "propagabile tramite worm", ovvero può diffondersi automaticamente in un'intera rete ad altri computer senza alcun intervento da parte dell'utente.

In che modo il single sign-on (SSO) aiuta a proteggere le sessioni desktop remote?

L'integrazione di RDP con un servizio SSO consente alle organizzazioni di proteggere l'accesso remoto tramite un processo di login più sicuro. Ciò consente alle aziende di imporre requisiti di password più rigorosi e di implementare ulteriori livelli di sicurezza, come l'autenticazione a due fattori (2FA), per verificare l'identità di un utente in modo più efficace.

In che modo le organizzazioni possono proteggere la porta 3389 dagli autori di attacchi?

Le organizzazioni possono proteggere questa porta utilizzando un software di tunneling sicuro che blocca tutte le richieste che non viaggiano attraverso un percorso sicuro designato. Un’altra opzione è impostare regole del firewall che consentano solo il traffico proveniente da indirizzi IP specifici e attendibili, sebbene questo metodo possa essere difficile da gestire manualmente per i team di grandi dimensioni.

In che modo Cloudflare contribuisce a proteggere le connessioni RDP?

Cloudflare fornisce un proxy RDP veloce che applica i controlli di sicurezza Zero Trust a ogni connessione. Grazie a strumenti come Cloudflare Access e tunnel sicuri, le aziende possono nascondere le proprie risorse RDP dall'Internet pubblico e garantire che solo gli utenti autenticati con le autorizzazioni corrette possano accedervi.

Informazioni sulla gestione degli accessi