Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
enero
(Total:
52
)
- Configuración MariaDB (MySQL) Gestor Base de Datos
- Instalar WSL2 en Windows 10 para ejecutar Linux de...
- Análisis BackBlaze de los discos duros mecánicos m...
- Tecnologías grabación disco duro mecánico HDD: dif...
- Europol desmantela Emotet: la botnet de malware má...
- Obtener IP de un contacto mediante una llamada en ...
- Nomenclatura de la BIOS/UEFI: ErP Ready, CSM, VRM,...
- Vulnerabilidad en sudo presente desde 2011 permite...
- Seguridad en SSH: uso de llaves privadas y multifa...
- Securizar una RaspBerry Pi
- Convierte tu Raspberry PI en un analizador de red ...
- Optimizar módulo PHP FPM y opciones de seguridad e...
- Los mejores HoneyPots: ejemplos, tipos, caracterís...
- SMiShing: ¿Por qué son tan efectivos los engaños p...
- Vulnerabilidad en "Enviar a Kindle" por e-mail per...
- Utilizan Windows RDP (Escritorio Remoto) puerto 33...
- Secuestran mediante phishing la cuenta de Instagra...
- Google indexa de nuevo datos privados de WhatsApp ...
- Arbitrium-RAT: troyano de acceso remoto multiplata...
- Un exempleado interrumpe el envío de suministros d...
- Los 10 mejores sitios web descarga de Torrent de 2021
- La Policía Nacional detiene en Valencia varón 25 a...
- La policía británica borra por error 400.000 histo...
- Guía configuración y optimización Apache (MPM, suE...
- Administración de Trump añade a Xiamoi a lista de ...
- Comprobar la capacidad real de espacio en un pendr...
- Error en Windows 10 corrompe tu disco duro al ver ...
- Empresa china filtra 200 millones de datos de usua...
- Expertos alertan potente y peligroso RAT llamado R...
- nVidia presenta la serie GeForce RTX Serie 30 y AM...
- Intel agrega a procesadores capacidades de detecci...
- Archivan todas las publicaciones de Parler elimina...
- Fuga de datos privados de la ONU: trabajadores de ...
- Muchas otras redes sociales se unen al veto de Twi...
- SolarWinds contrata una nueva empresa de cibersegu...
- Compartir la ubicación de Telegram no es tan priva...
- HackTools v0.3.0 : la extensión todo en uno para W...
- FBI advierte a empresas sobre ataques del ransomwa...
- Estados Unidos condena ruso a 12 años de cárcel po...
- Aumentan las descargas de Signal y Telegram ante p...
- Condenan a Vodafone a devolver 20.380 euros a un c...
- La aplicación KeyDecoder permite usar el teléfono ...
- Comprendiendo el cifrado TPM con BitLocker y métod...
- Descubre contraseñas escuchando las pulsaciones de...
- Grupo Ransomware DoppelPaymer roba y publica datos...
- Apple compara cuántos metadatos recoge Whatsapp Vs...
- Nintendo pide $15 millones de daños de un sitio we...
- Crecen los ciberataques a los bancos a raíz del co...
- iptables Vs FirewallD: diferencias, ejemplos práct...
- Desactivar scripts PowerShell para evitar ataques ...
- Fallo en Facebook SDK permitía robar cuentas vía o...
- ¿Se atreverá Twitter banear a Donald Trump cuando ...
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Utilizan Windows RDP (Escritorio Remoto) puerto 3389 UDP para realizar ataques DDoS amplificados
Los servidores Windows RDP que se ejecutan en el puerto UDP 3389 pueden quedar atrapados en redes de bots DDoS y abusar de ellos para rebotar y amplificar el tráfico basura hacia las redes de las víctimas. .El factor de amplificación es 85,9x, y que los atacantes haciendo IP Spoofing (falsificando y suplantando la IP de origen) envían unos pocos bytes y generan "paquetes de ataque" que tienen "una longitud constante de 1260 bytes" que se devuelve a la IP falsa de origen (la que será atacada).
- Ataques masivos de RDP con la llegada del teletrabajo generalizado y del fallo de seguridad BlueKeep
Abusando de los servidores Windows RDP para amplificar los ataques DDoS
Servidores RDP ya abusados para ataques del mundo real
¿Qué es RDP?
RDP, abreviatura de Remote Desktop Protocol, en español Protocolo de Escritorio Remoto, permite que una computadora se conecte a otra computadora a través de una red para usarla de forma remota. En un dominio, las computadoras que ejecutan un sistema operativo Windows Client, como Windows XP o Windows 10, vienen con un software cliente RDP preinstalado como parte del sistema operativo, que les permite conectarse a otras computadoras en la red, incluidos los servidores de la organización. Una conexión a un servidor en este caso significa que podría ser directamente al sistema operativo del servidor, o podría ser a un sistema operativo que esté corriendo dentro de una máquina virtual en ese servidor. Desde esa conexión, una persona puede abrir directorios, descargar y cargar archivos y ejecutar programas, como si estuviera usando el teclado y el monitor conectados a ese servidor.
RDP fue inventado por Citrix en 1995 y vendido como parte de una versión mejorada de Windows NT 3.51 llamada WinFrame. En 1998, Microsoft agregó RDP a la edición Windows NT 4.0 Terminal Server. Desde entonces, el protocolo ha sido parte de todas las versiones de la línea de sistemas operativos Windows Server de Microsoft, además de estar incluido en todas las ediciones para usuarios no domésticos de los sistemas operativos Windows Client desde que se lanzó Windows XP en 2001. Hoy, usuarios comunes de RDP incluyen administradores de sistemas que realizan la administración remota de servidores desde sus cubículos sin tener que ir a la sala de servidores, así como trabajadores remotos que pueden conectarse a máquinas de escritorio virtualizadas dentro del dominio de su organización.
¿Qué hacen los atacantes con RDP?
Durante los últimos años, ESET ha visto un número cada vez mayor de incidentes en los que los atacantes se han conectado remotamente a un servidor de Windows desde Internet utilizando RDP e iniciado sesión como administrador de la computadora. Una vez que los atacantes inician sesión en el servidor como administrador, generalmente realizarán un reconocimiento para determinar para qué se utiliza el servidor, por quién y cuándo se está utilizando.
Una vez que los atacantes conocen qué tipo de servidor es el que controlan pueden comenzar a realizar acciones maliciosas. Algunas de las actividades maliciosas más comunes que hemos visto incluyen:
- borrar archivos de registro que contienen evidencia de su presencia en el sistema
- deshabilitar las copias de seguridad programadas y las shadow copies
- deshabilitar el software de seguridad o configurar exclusiones en él (lo cual está permitido para los administradores)
- descargar e instalar varios programas en el servidor
- borrar o sobrescribir copias de seguridad antiguas, si están accesibles
Si bien esta no es una lista completa de todas las cosas que un atacante puede hacer, tampoco significa que un atacante necesariamente va a realizar todas estas actividades. Por lo tanto, si bien la naturaleza exacta de lo que harán los atacantes puede variar mucho, dos de las acciones más comunes que realizan son:
- Instalar programas para criptominería con el objetivo de generar criptomonedas, tales como Monero
- Instalar ransomware para extorsionar con dinero a la organización (a menudo solicitan realizar un pago con criptomonedas, como bitcoin).
En algunos casos, los atacantes pueden instalar adicionalmente algún software para el control remoto con el objetivo de mantener el acceso (persistencia) a un servidor comprometido en caso de que se descubra y finalice su actividad RDP.
Recomendación para asegurar RDP | Razón - Motivo |
---|---|
1. Deshabilite conexiones externas a máquinas locales en el puerto 3389 (TCP / UDP) en el firewall perimetral. * | Bloquea el acceso RDP desde Internet. |
2. Pruebe e implemente parches para la
vulnerabilidad CVE-2019-0708 (BlueKeep) y habilite la Autenticación de
nivel de red lo más rápido posible. | Instalar el parche de Microsoft y seguir sus pautas ayuda a garantizar que los dispositivos estén protegidos contra la vulnerabilidad BlueKeep. |
3. Para todas las cuentas que puedan iniciar sesión a través de RDP, se requieren contraseñas complejas (es obligatoria una contraseña larga que contenga más de 15 caracteres sin palabras relacionadas con la empresa, los nombres de productos o los usuarios). | Protege contra ataques que buscan adivinar contraseñas y rellenar credenciales. Es increíblemente fácil automatizarlos, y aumentar la longitud de una contraseña los hace exponencialmente más resistentes a tales ataques. |
4. Instale el doble factor de autenticación (2FA) y, como mínimo, exíjalo en todas las cuentas que puedan iniciar sesión a través de RDP. | Requiere una segunda capa de autenticación solo disponible para los empleados a través del teléfono móvil, token u otro mecanismo para iniciar sesión en las computadoras. |
5. Instale una red privada virtual (VPN) para gestionar todas las conexiones RDP desde fuera de su red local. | Evita las conexiones RDP entre Internet y su red local. Sirve para robustecer los requisitos de identificación y autenticación para el acceso remoto a computadoras. |
6. Proteger con contraseña el software de seguridad para endpoint utilizando una contraseña segura no relacionada con cuentas administrativas y de servicio. | Proporciona una capa adicional de protección si un atacante obtiene acceso de administrador a su red. |
7. Activar en el software de seguridad para endpoint el bloqueo de explotación. | Muchos programas de seguridad para endpoint también pueden bloquear las técnicas de explotación. Verifique que esta funcionalidad esté habilitada. |
8. Aísle cualquier computadora insegura a la que deba accederse desde Internet utilizando RDP. | Implemente el aislamiento de la red para bloquear las computadoras vulnerables del resto de la red. |
9. Reemplace las computadoras inseguras. | Si no se puede reparar una computadora contra la vulnerabilidad de BlueKeep, planifique su reemplazo oportuno. |
10. Considere establecer el bloqueo de geoIP en la puerta de enlace VPN. | Si el personal y los vendedores están en el mismo país, o en una lista corta de países, considere bloquear el acceso de otros países para evitar conexiones de atacantes extranjeros. |
Fuentes:
https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.