Quais são os riscos de segurança do RDP? | Vulnerabilidades do RDP

A autenticação de usuário fraca e o direcionamento de porta são duas das principais vulnerabilidades presentes no Protocolo de Desktop Remoto (RDP).

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entenda os riscos do Protocolo de Desktop Remoto (RDP)
  • Saiba como se proteger contra essas vulnerabilidades
  • Conheça a solução da Cloudflare para segurança do RDP

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é o RDP?

O RDP, ou Protocolo de Desktop Remoto, é um dos principais protocolos usados para sessões de desktop remoto, nas quais os funcionários acessam seus computadores desktop do escritório a partir de outro dispositivo. O RDP está incluído na maioria dos sistemas operacionais Windows e também pode ser usado com Macs. Muitas empresas confiam no RDP para permitir que seus funcionários trabalhem em casa.

Quais são as principais vulnerabilidades de segurança do RDP?

Uma vulnerabilidade é uma lacuna ou um erro na maneira como um software é construído que permite que invasores obtenham acesso não autorizado. Pense em uma fechadura instalada incorretamente na porta da frente de uma casa que permite a invasão de criminosos.

Estas são as vulnerabilidades mais importantes do RDP:

  1. Credenciais de login de usuário fracas. A maioria dos computadores desktop é protegida por senha e os usuários podem definir essa senha como desejarem. O problema é que a mesma senha é frequentemente usada para logins remotos de RDP também. As empresas normalmente não gerenciam essas senhas para garantir sua força e frequentemente deixam essas conexões remotas abertas para ataques de força bruta ou de preenchimento de credenciais.
  2. Acesso irrestrito à porta. As conexões RDP quase sempre ocorrem na porta 3389*. Os invasores podem supor que essa é a porta em uso e acessá-la para realizar ataques on-path, entre outros.

*Nas plataformas de rede, uma porta é um local lógico baseado em software designado para certos tipos de conexões. Atribuir processos diferentes a portas diferentes ajuda os computadores a monitorar esses processos. Por exemplo, o tráfego HTTP sempre vai para a porta 80, enquanto o tráfego HTTPS vai para a porta 443.

Quais são algumas maneiras de resolver essas vulnerabilidades do RDP?

Para reduzir a prevalência de credenciais de logon fracas:

Logon único (SSO): muitas empresas já usam serviços de SSO para gerenciar logins de usuários para vários aplicativos. O SSO oferece às empresas uma maneira mais fácil de impor o uso de senhas fortes, além de implementar medidas ainda mais seguras, como a autenticação de dois fatores (2FA). É possível mover o acesso remoto RDP para trás do SSO para reforçar a vulnerabilidade de login do usuário descrita acima. (O Cloudflare Zero Trust, por exemplo, permite que as empresas façam isso.)

Gerenciamento e exigência de senha: Para algumas empresas, mover o RDP para trás do SSO pode não ser uma opção. No mínimo, elas devem exigir que os funcionários redefinam suas senhas de desktop para uma senha mais forte.

Para se proteger contra ataques baseados em porta:

Porta de bloqueio 3389: o software de tunelamento seguro pode ajudar a impedir que invasores enviem solicitações que cheguem à porta 3389. Com um túnel seguro (por exemplo, o Cloudflare Tunnel) instalado, todas as solicitações que não passarem pelo túnel serão bloqueadas.

Regras de firewall: Permitem configurar manualmente um firewall corporativo para que nenhum tráfego para a porta 3389 possa passar, exceto o tráfego das faixas dos endereço de IP das listas de permissões (por exemplo, os dispositivos conhecidos como pertencentes aos funcionários). Entretanto, este método exige muito esforço manual e continua sendo vulnerável a ataques caso os invasores sequestrem um endereço de IP da lista de permissões ou os dispositivos dos funcionários estiverem comprometidos. Além disso, normalmente é muito difícil identificar e incluir todos os dispositivos de funcionários antecipadamente na lista de permissões, o que resulta em solicitações de TI contínuas de funcionários bloqueados.

Que outras vulnerabilidades o RDP tem?

O RDP tem outras vulnerabilidades que foram tecnicamente corrigidas, mas que ainda são graves se não forem verificadas.

Uma das vulnerabilidades mais graves no RDP é chamada de "BlueKeep". O BlueKeep (oficialmente classificado como CVE-2019-0708) é uma vulnerabilidade que permite que invasores executem qualquer código que quiserem em um computador se enviarem uma solicitação especialmente criada para a porta certa (geralmente 3389). O BlueKeep é "wormable", o que significa que pode se espalhar para todos os computadores de uma rede sem nenhuma ação dos usuários.

A melhor defesa contra essa vulnerabilidade é desabilitar o RDP, a menos que ele seja necessário. Bloquear a porta 3389 usando um firewall também pode ajudar. Por fim, a Microsoft lançou um patch que corrige essa vulnerabilidade em 2019 e é essencial que os administradores de sistema instalem esse patch.

Como qualquer outro programa ou protocolo, o RDP também tem várias outras vulnerabilidades, e a maioria delas pode ser eliminada usando sempre a versão mais recente do protocolo. Os fornecedores normalmente corrigem as vulnerabilidades em cada nova versão do software que lançam.

Como a Cloudflare ajuda a garantir o acesso remoto?

O Cloudflare Zero Trust e o Cloudflare Tunnel eliminam conjuntamente as duas principais vulnerabilidades de RDP descritas acima. Uma vantagem de usar a Cloudflare é que, ao contrário dos firewalls corporativos típicos, ela não é baseada em hardware e não requer configuração manual. Proteger as conexões RDP com o Argo Tunnel geralmente é tão simples quanto alguns cliques no painel da Cloudflare. Para saber mais sobre a Cloudflare e o RDP, leia nossa publicação no blog ou assista a esta demonstração.