Quais são os riscos de segurança do RDP? | Vulnerabilidades do RDP

A autenticação de usuário fraca e o direcionamento de porta são duas das principais vulnerabilidades presentes no Protocolo de Desktop Remoto (RDP).

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entenda os riscos do Protocolo de Desktop Remoto (RDP)
  • Saiba como se proteger contra essas vulnerabilidades
  • Conheça a solução da Cloudflare para segurança do RDP

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o RDP?

O RDP, ou Protocolo de Desktop Remoto, é um dos principais protocolos usados para sessões de desktop remoto, nas quais os funcionários acessam seus computadores desktop do escritório a partir de outro dispositivo. O RDP está incluído na maioria dos sistemas operacionais Windows e também pode ser usado com Macs. Muitas empresas confiam no RDP para permitir que seus funcionários trabalhem em casa.

Quais são as principais vulnerabilidades de segurança do RDP?

Uma vulnerabilidade é uma lacuna ou um erro na maneira como um software é construído que permite que invasores obtenham acesso não autorizado. Pense em uma fechadura instalada incorretamente na porta da frente de uma casa que permite a invasão de criminosos.

Estas são as vulnerabilidades mais importantes do RDP:

  1. Credenciais de login de usuário fracas. A maioria dos computadores desktop é protegida por senha e os usuários podem definir essa senha como desejarem. O problema é que a mesma senha é frequentemente usada para logins remotos de RDP também. As empresas normalmente não gerenciam essas senhas para garantir sua força e frequentemente deixam essas conexões remotas abertas para ataques de força bruta ou de preenchimento de credenciais.
  2. Acesso irrestrito à porta. As conexões RDP quase sempre ocorrem na porta 3389*. Os invasores podem supor que essa é a porta em uso e acessá-la para realizar ataques on-path, entre outros.

*Nas plataformas de rede, uma porta é um local lógico baseado em software designado para certos tipos de conexões. Atribuir processos diferentes a portas diferentes ajuda os computadores a monitorar esses processos. Por exemplo, o tráfego HTTP sempre vai para a porta 80, enquanto o tráfego HTTPS vai para a porta 443.

Quais são algumas maneiras de resolver essas vulnerabilidades do RDP?

Para reduzir a prevalência de credenciais de logon fracas:

Logon único (SSO): muitas empresas já usam serviços de SSO para gerenciar logins de usuários para vários aplicativos. O SSO oferece às empresas uma maneira mais fácil de impor o uso de senhas fortes, além de implementar medidas ainda mais seguras, como a autenticação de dois fatores (2FA). É possível mover o acesso remoto RDP para trás do SSO para reforçar a vulnerabilidade de login do usuário descrita acima. (O Cloudflare Zero Trust, por exemplo, permite que as empresas façam isso.)

Gerenciamento e exigência de senha: Para algumas empresas, mover o RDP para trás do SSO pode não ser uma opção. No mínimo, elas devem exigir que os funcionários redefinam suas senhas de desktop para uma senha mais forte.

Para se proteger contra ataques baseados em porta:

Porta de bloqueio 3389: o software de tunelamento seguro pode ajudar a impedir que invasores enviem solicitações que cheguem à porta 3389. Com um túnel seguro (por exemplo, o Cloudflare Tunnel) instalado, todas as solicitações que não passarem pelo túnel serão bloqueadas.

Regras de firewall: Permitem configurar manualmente um firewall corporativo para que nenhum tráfego para a porta 3389 possa passar, exceto o tráfego das faixas dos endereço de IP das listas de permissões (por exemplo, os dispositivos conhecidos como pertencentes aos funcionários). Entretanto, este método exige muito esforço manual e continua sendo vulnerável a ataques caso os invasores sequestrem um endereço de IP da lista de permissões ou os dispositivos dos funcionários estiverem comprometidos. Além disso, normalmente é muito difícil identificar e incluir todos os dispositivos de funcionários antecipadamente na lista de permissões, o que resulta em solicitações de TI contínuas de funcionários bloqueados.

Que outras vulnerabilidades o RDP tem?

O RDP tem outras vulnerabilidades que foram tecnicamente corrigidas, mas que ainda são graves se não forem verificadas.

Uma das vulnerabilidades mais graves no RDP é chamada de "BlueKeep". O BlueKeep (oficialmente classificado como CVE-2019-0708) é uma vulnerabilidade que permite que invasores executem qualquer código que quiserem em um computador se enviarem uma solicitação especialmente criada para a porta certa (geralmente 3389). O BlueKeep é "wormable", o que significa que pode se espalhar para todos os computadores de uma rede sem nenhuma ação dos usuários.

A melhor defesa contra essa vulnerabilidade é desabilitar o RDP, a menos que ele seja necessário. Bloquear a porta 3389 usando um firewall também pode ajudar. Por fim, a Microsoft lançou um patch que corrige essa vulnerabilidade em 2019 e é essencial que os administradores de sistema instalem esse patch.

Como qualquer outro programa ou protocolo, o RDP também tem várias outras vulnerabilidades, e a maioria delas pode ser eliminada usando sempre a versão mais recente do protocolo. Os fornecedores normalmente corrigem as vulnerabilidades em cada nova versão do software que lançam.

Como a Cloudflare ajuda a proteger o acesso RDP?

Para simplificar e proteger o acesso ao RDP, a Cloudflare criou um proxy RDP de desempenho rápido que incorpora os controles de segurança Zero Trust da nossa plataforma SASE. A Cloudflare agora oferece acesso RDP sem cliente e baseado em navegador: não é necessária nenhuma infraestrutura adicional e nenhuma configuração extra no dispositivo cliente. Saiba mais sobre a plataforma SASE e o acesso RDP da Cloudflare.

Perguntas frequentes

O que é Protocolo de Desktop Remoto (RDP)?

O RDP é um padrão técnico comum que permite que as pessoas usem um computador a partir de um local diferente. As empresas frequentemente usam esse protocolo para ajudar os funcionários a acessar seus computadores no escritório enquanto trabalham em casa.

Quais são as principais vulnerabilidades de segurança associadas ao RDP?

Os dois riscos mais significativos são credenciais de login fracas e acesso irrestrito à porta 3389. Como muitas organizações não gerenciam senhas de RDP por meio de sistemas centralizados, os usuários costumam usar senhas simples ou reutilizadas que são fáceis para os invasores adivinharem. Além disso, como o RDP usa a porta 3389, os invasores podem visar essa porta específica para lançar ataques ou obter entrada não autorizada.

O que é a vulnerabilidade BlueKeep?

BlueKeep é uma falha crítica de segurança, oficialmente rotulada como CVE-2019-0708, que permite que invasores executem códigos não autorizados em um computador enviando um tipo específico de solicitação para sua porta RDP. Esta vulnerabilidade é "propagável", o que significa que pode se espalhar automaticamente por uma rede inteira para outros computadores sem qualquer intervenção do usuário.

Como o login único (SSO) ajuda a proteger as sessões de desktop remotas?

A integração do RDP com um serviço de SSO permite que as organizações movam o acesso remoto para um processo de login mais seguro. Isso permite que as empresas imponham requisitos de senha mais fortes e implementem camadas de segurança adicionais, como a autenticação de dois fatores (2FA), para verificar a identidade de um usuário com mais eficiência.

Como as organizações podem proteger a porta 3389 de invasores?

As organizações podem proteger essa porta usando software de tunelamento seguro que bloqueia quaisquer solicitações que não viajem por meio de um caminho designado e seguro. Outra opção é configurar regras de firewall que permitam apenas o tráfego de endereços de IP específicos e confiáveis, embora esse método possa ser difícil de gerenciar manualmente para equipes grandes.

Como a Cloudflare ajuda a proteger as conexões RDP?

A Cloudflare fornece um proxy RDP rápido que aplica controles de segurança Zero Trust a todas as conexões. Ao usar ferramentas como o Cloudflare Access e túneis seguros, as empresas podem ocultar seus recursos de RDP da internet pública e garantir que apenas usuários autenticados com as permissões corretas possam ter acesso.