Alrededor del 0.08% de los ataques de fuerza bruta RDP son exitosos, y los ataques de fuerza bruta RDP duran de 2 a 3 días en promedio, dijo Microsoft el mes pasado al presentar los resultados de un estudio de un mes sobre el impacto de los ataques de fuerza bruta RDP en El sector empresarial.

Para el estudio, Microsoft dijo que recopiló datos sobre eventos relacionados con el inicio de sesión RDP de más de 45,000 estaciones de trabajo que ejecutan Microsoft Defender Advanced Threat Protection, la versión comercial de su aplicación antivirus gratuita Defender.

Los datos se recopilaron durante varios meses e incluyeron la recopilación de detalles sobre los eventos de inicio de sesión RDP fallidos y exitosos, estos son eventos de Windows con ID 4265 y 4264, respectivamente, junto con los nombres de usuario que un usuario / atacante podría haber utilizado.

RDP significa Protocolo de escritorio remoto. Es una característica del sistema operativo Windows que permite a los usuarios iniciar sesión en una computadora remota utilizando una interfaz similar a la de un escritorio a través de la dirección IP pública de la computadora y el puerto 3389.

RDP se usa a menudo en entornos empresariales para permitir que los administradores de sistemas administren servidores y estaciones de trabajo en ubicaciones remotas, o por el propio empleado, mientras están lejos de sus oficinas y escritorios.

En los últimos años, los malhechores han lanzado ataques contra sistemas Windows con puertos RDP abiertos. Durante los ataques de fuerza bruta, los piratas informáticos utilizan herramientas automatizadas que recorren múltiples combinaciones de nombre de usuario y contraseña, en un intento de adivinar las credenciales de inicio de sesión RDP de la computadora de destino.

Por lo general, estos ataques usan combinaciones de nombres de usuario y contraseñas que se han filtrado en línea después de infracciones en varios servicios en línea, o son de naturaleza simplista y fáciles de adivinar.

Microsoft dice que los ataques de fuerza bruta RDP que observó recientemente duraron de 2 a 3 días en promedio, con aproximadamente el 90% de los casos con una duración de una semana o menos, y menos del 5% con una duración de dos semanas o más.

Los ataques duraron días en lugar de horas porque los atacantes intentaban evitar que sus firewalls prohibieran sus IP de ataque.

En lugar de probar cientos o miles de combos de inicio de sesión a la vez, intentaban solo unas pocas combinaciones por hora, prolongando el ataque durante días, a un ritmo mucho más lento que los ataques de fuerza bruta RDP que se han observado antes.

«De los cientos de máquinas con ataques de fuerza bruta RDP detectados en nuestro análisis, encontramos que alrededor del 0,08% estaban comprometidos», dijo Microsoft .

«Además, en todas las empresas analizadas durante varios meses, se detectó en promedio aproximadamente 1 máquina con una alta probabilidad de verse comprometida como resultado de un ataque de fuerza bruta RDP cada 3-4 días», agregó el equipo de investigación de Microsoft.

«Una conclusión clave de nuestro análisis es que los intentos exitosos de fuerza bruta no son infrecuentes; por lo tanto, es crítico monitorear al menos las conexiones sospechosas y los inicios de sesión fallidos inusuales que resultan en eventos de inicio de sesión autenticados».

Para esto, Microsoft recomienda que los administradores del sistema combinen y monitoreen múltiples señales para detectar el tráfico de fuerza bruta entrante RDP en una máquina. Según Microsoft, tales señales deberían incluir:

  • hora del día y día de la semana de inicio de sesión fallido y conexiones RDP
  • momento del inicio de sesión exitoso luego de intentos fallidos
  • ID de evento 4625 tipo de inicio de sesión (filtrado a la red y remoto interactivo)
  • Id. De evento 4625 motivo de falla (filtrado a %% 2308, %% 2312, %% 2313)
  • recuento acumulativo de nombre de usuario distinto que no pudo iniciar sesión sin éxito
  • recuento (y recuento acumulativo) de inicios de sesión fallidos
  • recuento (y recuento acumulativo) de IP externa entrante RDP
  • recuento de otras máquinas que tienen conexiones entrantes RDP desde una o más de la misma IP

Fuente: zdnet.com

Compartir