lunedì 23 luglio 2018

Il protocollo RDP? Una voragine nella cyber security


Il Dark Web è attivissimo ed è un mercato estremamente fiorente: ci troviamo di tutto, non solo la possibilità di acquisto di beni e oggetti illegali, ma anche malware di ogni genere e credenziali rubate. Concentrandosi su queste ultime, il Dark Web pullula di un tipo specifico, tra le altre, di credenziali: quelle per gli accessi RDP, vendute a prezzi stracciato (la media si aggira sui 10 dollari statunitensi) ma che consentono l'accesso perfino a sistemi definibili come 'critici'. 

L'uso del protocollo RDP per controllare a distanza server e servizi è una delle tante falle di sicurezza nel mondo IT e sicuramente non c'è da stupirsi del fatto che sia uno dei bersagli privilegiati dai cyber criminali. Indubbiamente l'RDP è un protocollo utile: utilizzare a distanza una macchina come se ci trovassimo di fronte alla tastiera è utile in varie occasioni, sopratutto quando c'è bisogno di assistenza tecnica. Certo è che il sistema, che va comunque protetto attraverso un solido sistema di autenticazione, andrebbe usato sempre nella stessa rete e mai senza protezioni aggiuntive. La compromissione del protocollo RDP ha infatti effetti gravissimi rispetto alla sicurezza del sistema e della rete. Un esempio? Moltissimi ransomware si diffondono attaccando il protocollo RDP: l'ultimo e più famoso è stato il ransomware SamSam, che è riuscito ad infettare svariate istituzioni statunitensi sfruttando i servizi RDP come punto d'accesso. La spesa iniziale è stata di circa 10 dollari per ottenere l'accesso: il guadagno di oltre 40.000 dollari per la decriptazione. Un bel guadagno. 

Il mercato nero delle credenziali
Il problema è che invece spesso il protocollo RDP viene usato anche esternamente alla rete e talvolta con credenziali veramente deboli: moltissime di queste si trovano in vendita in shop online nel Dark Web a prezzi stracciati. Ad un attaccante basta verificare in Internet la presenza di sistemi con connessioni RDP aperte e lanciare un attacco di brute-force con tool famoso come Hydra, NLBrute o RDP Forcer per ottenere l'accesso. Questi tool, se forniti di ampi ed efficaci dizionari di password rubate nei data breach più recenti, sono strumenti pericolosissimi. 

Uno dei più famosi è Ultimate Anonimity Service, uno store online da dove è possibile acquistare credenziali RDP scegliendo in un pacchetto che contiene oltre 40.000 account. 

Fonte: securityinfo.it

In che modo i cybercriminali abusano dell'RDP?
L'RDP è stato progettato come sistema efficiente di accesso alla rete: chi riesce a sfruttare l'RDP non ha bisogno di produrre sofisticate tecniche di attacco. Trovato l'accesso, i cyber criminali si trovano nel sistema. Di solito, le macchine infette sono usate per:
  1. False Flag
    L'uso dell'accesso RDP per creare un diversivo è il più comune. Pur preservando l'anonimato, un attaccante può far sembrare che l'attività illegale svolta provenga dalla macchina della vittima: di solito queste "false flag" vengono "piantate" eseguendo codice dannoso sul computer della vittima, creando falsi percorsi di debugging ecc..
  2. Spam
    Sappiamo che spammer usano botnet gigantesche come Necurs o Kelihos: ogni bot che ne fa parte ha subito un attacco contro il protocollo RDP che ha permesso agli attaccanti di ottenere il controllo della macchina e renderla nodo (bot appunto) della rete. Alcuni dei sistemi in vendita nel dark web sono pubblicizzati proprio così, come servizi utili per campagne pubblicitarie di massa, con annesso servizio di verifica di eventuali iscrizioni in liste antispam (si pensi a SpamHaus su tutti). 
  3. Abuso degli account, raccolta credenziali, estorsione
    Accedendo ad un sistema tramite RDP un attaccante può ottenere quasi tutti i dati memorizzati nel sistema bersaglio. Queste informazioni possono essere usate per furti di identità, acquisizione di fondi, truffe di vario genere con carte di credito, estorsioni ecc...
  4. Cripto miningParliamo dell'uso illegale e nascosto all'utente del potenziale di calcolo della CPU della macchina per "minare" cripto valuta. Un mercato in crescita impressionante (al punto da aver già superato i ransomware come strumento preferito dai cyber criminali): moltissimi sono gli shop nel Dark Web che pubblicizzano miner di Monero per macchine con l'RDP compromesso.
  5. Ransomware
    La maggior parte dei ransomware viene ancora diffusa tramite email di phishing o exploi tkit. Tuttavia sono in diffusione alcune versioni che infettano i sistemi attaccando l'RDP e penetrando così nel sistema. Nella maggior parte dei casi, l'infezione si disvela all'utente quando i dati sono già criptati. 

Mettere in sicurezza il protocollo RDP
Moltissimi ricercatori, da anni, segnalano che la debolezza principale sulla quale vive la minaccia ai protocolli RDP è da rintracciarsi proprio nella trascuratezza degli amministratori IT. Da una parte la quantità impressionante di servizi RDP esposti su Internet che un cyber attaccante può facilmente individuare usando strumenti di scansione specifici o perfino servizi online come Shodan. Dall'altra invece il problema risiede nella pessima applicazione delle "buone pratiche" che sarebbero richieste per una policy di accesso al servizio efficiente e sicura. Ad esempio la tecnica del brute forcing funziona solo se gli amministratori di rete non eseguono una corretta rotazione delle password. Se non si cambia, cioè, la password ogni 30 o 60 giorni, il rischio che questa venga scardinata e che l'attacco possa prolungarsi nel tempo aumenta esponenzialmente. Ad un attaccante infatti  non costa molta fatica lasciare attivo un software che tenti e ritenti password anche per uno o due mesi: se nel frattempo le credenziali non vengono cambiate, il gioco è fatto. 

Qualche contromisura
Il primo passo sarebbe quello di proteggere la connessione con una VPN: per quanto riguarda invece le credenziali, la rotazione periodica è una necessità da rispettare rigorosamente. La rotazione periodica delle password però, come svariati ricercatori hanno ribadito, crea un ulteriore problema: l'obbligo di cambiare periodicamente password porta gli utenti a usare varianti della stessa passphrase, un gran favore agli attaccanti. Dato il problema, comprovato dall'esperienza, è fortemente consigliato l'uso di sistemi di autenticazione a due fattori o l'implementazione di token "usa e getta". 

Nessun commento:

Posta un commento