Foco de Ameaça: As ferramentas de desktop remoto mais visadas por atacantes no último ano

O software de ambiente de trabalho remoto permite que os trabalhadores se conectem à rede do seu computador sem estarem fisicamente ligados ao dispositivo host ou sequer no mesmo local. Isto torna-o uma ferramenta útil para uma força de trabalho distribuída ou remota. Infelizmente, o software de ambiente de trabalho remoto é também um alvo preferencial para ciberataques.

Entre os desafios de segurança que as equipas de TI enfrentam ao implementar software de ambiente de trabalho remoto está o facto de haver muitas ferramentas diferentes disponíveis, cada uma utilizando diferentes e, por vezes, vários portos para operar. Os portos são pontos de ligação virtuais que permitem aos computadores diferenciar entre diferentes tipos de tráfego. A utilização de múltiplos portos pode dificultar a monitorização e deteção de ligações maliciosas e subsequente intrusão pelas equipas de segurança de TI.

O método de ataque mais simples e ubíquo utilizado contra software de desktop remoto é o uso abusivo de credenciais fracas, reutilizadas e/ou phished. Estas oferecem a um atacante acesso imediato aos sistemas aos quais o utilizador tem acesso. As implementações de software de desktop remoto também podem ser vulneráveis a exploits de bugs de software e esquemas fraudulentos de suporte técnico.

Neste artigo, analisamos as ferramentas mais comuns, as portas associadas e as formas como os atacantes podem, e realmente conseguem, obter acesso.

As ferramentas de desktop remoto mais visadas nos últimos 12 meses

Virtual Network Computing (VNC) - Portas 5800+, 5900+

VNC, que utiliza o protocolo RFB, é uma ferramenta amplamente utilizada que é independente da plataforma. Isto permite que utilizadores e dispositivos se conectem a servidores, independentemente do(s) sistema(s) operativo(s). O VNC é utilizado como o software base, entre outros, para as soluções de ambiente de trabalho remoto e de partilha de ecrã da Apple. Também é utilizado extensivamente em indústrias de infraestruturas críticas, como as utilities, que são um alvo crescente para ciberataques.

De acordo com as fontes de dados da Barracuda, o VNC foi de longe a ferramenta de desktop remoto mais visada no último ano, representando 98% do tráfego em todas as portas específicas de desktop remoto.

Mais de 99% destas tentativas de ataque foram direcionadas a portas HTTP, com os restantes 1% a visar o TCP (protocolo de controlo de transferência). Isto deve-se provavelmente ao facto de o HTTP, o protocolo utilizado para aceder a websites, não requerer autenticação específica, ao contrário do TCP, que é utilizado para a troca de dados entre aplicações e dispositivos.

A maioria dos ataques observados contra o VNC tentou forçar por tentativa e erro senhas fracas e reutilizadas. A vulnerabilidade mais comum visada pelos ataques foi a CVE-2006-2369, que permite a um atacante contornar a autenticação no RealVNC 4.1.1, com 18 anos.

O VNC abrange várias ofertas de software, e cada uma pode diferir ligeiramente em termos de funcionalidades e funcionalidades. Algumas têm um limite de 8 caracteres para passwords, o que pode facilitar significativamente a violação da password para obter acesso por parte de atacantes. Por defeito, o tráfego VNC não é encriptado, mas algumas soluções utilizam shell seguro, SSH, ou túnel VPN para encriptar o tráfego, o que ajuda a reforçar a segurança.

O VNC tem uma gama de portas que pode utilizar. As portas base são 5800 para ligações TCP e 5900 para HTTP, mas o número de display (referido como N na especificação) é adicionado à porta base para permitir a ligação a displays diferentes. O display físico é 0, o que corresponde às portas base, mas as ligações e ataques podem também utilizar números de porta mais elevados. Isto complica as coisas do ponto de vista da segurança, uma vez que não existem uma ou duas portas estritamente definidas a considerar, como em outras soluções de desktop remoto.

A origem geográfica dos ataques é difícil de estabelecer com precisão porque muitos atacantes usam proxies ou VPNs para disfarçar as suas verdadeiras origens. No entanto, dentro dessa limitação, parece que cerca de 60% do tráfego malicioso direcionado ao VNC veio da China.

Protocolo de Ambiente de Trabalho Remoto - Porta 3389

O RDP é um protocolo proprietário relativamente comum criado pela Microsoft para uso em ambiente de trabalho remoto. O RDP representou cerca de 1,6% dos ataques tentados que detetámos contra ferramentas de trabalho remoto no último ano. No entanto, ataques maiores contra redes e dados são mais propensos a envolver o RDP do que o VNC.

Os ataques RDP são frequentemente usados para implementar malware, mais frequentemente ransomware ou mineradores de criptomoeda, ou para aproveitar máquinas vulneráveis como parte de ataques DDoS.

Cerca de um em cada seis (15%) das tentativas de ataque envolveu um cookie obsoleto. Isto pode ser uma tática deliberada para ajudar os atacantes a identificar versões mais antigas, e por isso provavelmente mais vulneráveis, do software RDP para ataques adicionais.

Tal como outros serviços de desktop remoto, o RDP é principalmente alvo de ataques baseados em credenciais. No entanto, ao longo dos anos, foram relatadas algumas vulnerabilidades graves que permitem a execução remota de código (RCE) no sistema alvo. Algumas vulnerabilidades notáveis incluem CVE-2018-0886, que afetou o fornecedor de suporte de segurança de credenciais (CredSSP) usado para autenticação RDP; CVE-2019-0708, também conhecido como BlueKeep, que tinha a capacidade de se transformar num worm (embora não tenham sido relatados worms em circulação); e CVE-2019-0887, que ofereceu aos atacantes um meio de escapar das instâncias de máquinas virtuais Hyper-V para obter acesso ao hipervisor.

Também é possível que os atacantes utilizem o RDP para obter hashes de senhas de contas mais privilegiadas que podem gerir estações de trabalho. Isto pode ser parte de um ataque contra um sistema com um servidor RDP ativado, ou para escalonamento de privilégios ao ativar o RDP num sistema que um atacante já tenha comprometido.

No entanto, apesar destas vulnerabilidades RCE potencialmente de alto risco, a maioria das tentativas de exploração observadas contra RDP foram vulnerabilidades de negação de serviço, que representaram 9% do tráfego observado.

O RDP também é usado em ataques de vishing (phishing por voz/telefone) de Suporte da Microsoft que visam enganar utilizadores, convencendo-os de que a sua máquina tem problemas técnicos que o atacante pode resolver se o acesso RDP for ativado e concedido a eles. Existe também um mercado clandestino para instâncias de RDP vulneráveis ou pirateadas para outros atacantes utilizarem conforme desejarem, frequentemente atingindo vários dólares por instância.

Os dados sugerem que a maioria das tentativas de ataque contra RDP teve origem na América do Norte (representando cerca de 42% dos ataques), seguida pela China e Índia, embora — como mencionado acima — o uso de proxies ou VPNs possa ofuscar a verdadeira origem dos ataques.

TeamViewer - Porta 5938

Ataques direcionados ao TeamViewer representaram 0,1% do tráfego malicioso em todas as portas de desktop remoto cobertas pelas nossas fontes de dados. Os poucos ataques detetados envolveram a vulnerabilidade Log4Shell e pareceram visar o hub de gestão central da ferramenta, o Frontline Command Center, que parece ser a única aplicação TeamViewer a usar Java.

As versões mais recentes do TeamViewer são direcionadas para uso empresarial e integração com o Microsoft Teams, Salesforce e ServiceNow, entre outros. Como uma oferta empresarial, o TeamViewer oferece mais funcionalidades de segurança, como impressão digital de dispositivos, credenciais geradas automaticamente (que evitam senhas fracas ou reutilizadas), retrocesso exponencial para credenciais incorretas (aumentando o tempo de espera exponencialmente a cada vez que são usadas credenciais incorretas, o que protege contra ataques de força bruta) e autenticação multifator (MFA). Todo o tráfego entre o cliente e o servidor TeamViewer também é encriptado para aumentar a segurança.

Apesar destas proteções, o TeamViewer ainda é por vezes utilizado em ataques ou alvo de ataques. Isto deve-se frequentemente a credenciais phished ou compartilhadas de forma insegura. O TeamViewer também é por vezes utilizado em esquemas fraudulentos de suporte técnico.

Além da porta 5938, as portas 80 e 443 também podem ser utilizadas com o TeamViewer, o que pode dificultar a deteção de ligações maliciosas na rede pela equipa de segurança.

Independent Computing Architecture (ICA) - Portas 1494, 2598

O ICA é um protocolo de área de trabalho remota criado pela Citrix como uma alternativa ao RDP, embora as soluções Citrix que utilizam o ICA normalmente também suportem o RDP. A porta 1494 é usada para conexões ICA de entrada. O ICA também pode ser encapsulado no Common Gateway Protocol da Citrix, que usa a porta 2598. Algumas versões anteriores do cliente ICA apresentavam vulnerabilidades RCE. Uma vulnerabilidade RCE mais geral, CVE-2023-3519, também afetou o Proxy ICA e foi usada por atacantes para criar web shells em sistemas afetados.

AnyDesk - Porta 6568

AnyDesk é outra solução de desktop remoto que tem sido utilizada em esquemas de suporte técnico, bem como em esquemas de serviço ao cliente de banca móvel. AnyDesk foi incluído em algumas variantes de ransomware em 2018, possivelmente para confundir os sistemas de deteção de malware quanto ao verdadeiro propósito do malware. Para além da porta 6568, pode também utilizar as portas 80 ou 443.

Splashtop Remote - Porta 6783

Embora tenha representado o menor tráfego de tentativas de ataque entre as soluções de desktop remoto, o Splashtop Remote tem sido usado em esquemas fraudulentos de suporte. Também pode ser comprometido com credenciais fracas, reutilizadas ou obtidas por phishing.

Reduzindo o risco

Soluções de segurança em profundidade que podem detectar tráfego de portas suspeito em toda a rede são críticas. Isso deve ser complementado por políticas e programas de segurança robustos, como restringir o acesso a serviços remotos apenas a quem necessita, utilizar conexões seguras como uma VPN e atualizar regularmente o software com os patches mais recentes. Os métodos de autenticação devem incluir o uso de senhas fortes, com autenticação multifator (MFA) como mínimo, idealmente avançando para uma abordagem de Zero Trust.

A padronização de uma solução específica de ambiente de trabalho remoto em toda a organização permitirá que a equipa de TI concentre recursos na gestão, monitorização e segurança das portas associadas, bloqueando outro tráfego.