Microsoft ha optado por añadir medidas de seguridad específicas contra ataques de fuerza bruta contra el RDP (protocolo de escritorio remoto). Dichas mejoras de seguridad se han introducido en las compilaciones más recientes de Windows 11.

La mejora de seguridad del RDP propuesta por Microsoft

Ante la evolución de este tipo de ataques abusando del RDP, Microsoft decidió añadir la medida de seguridad en la última compilación Insider Preview 22528.1000. Este sistema bloquea automáticamente las cuentas durante 10 minutos tras 10 intentos de inicio de sesión no válidos. La noticia fue lanzada por David Weston (vicepresidente de seguridad de SO y empresa) en Twitter la semana pasada.

Este tipo de ataques contra el RDP es bastante común en los ramsonware operados por personas, entre otros. Con esta relativamente sencilla medida se consigue complicar los ataques de fuerza bruta, siendo bastante efectivo para desincentivarlos. No obstante, ya era posible activar esta medida en Windows 10, de modo que la novedad realmente es su habilitación por defecto.

Por otro lado, se espera que al igual que pasó con la del bloqueo de macros de VBA para documentos de Office, sea implementada también para versiones anteriores de Windows y Windows Server. Aparte de las macros maliciosas, el acceso RDP por fuerza bruta ha sido durante mucho tiempo uno de los métodos más populares utilizados en ciberataques. Con esta estrategia se lograba obtener el acceso no autorizado inicial a los sistemas Windows. Entre otras familias de ransomware, se sabe que LockBit, Conti, Hive, PYSA, Crysis, SamSam y Dharma se basan en este tipo de ataques para lograr el acceso inicial a los equipos de las víctimas.

Efectos de la medida de seguridad

Microsoft espera lograr con esta medida reducir significativamente el número de intrusiones en aquellos equipos que usan su sistema operativo. De esta forma se prevendrían aquellos ciberataques basados en la obtención de contraseñas mediante fuerza bruta contra RDP (sobre todo contra contraseñas débiles). Además, los ciberdelincuentes logran el acceso a los sistemas de las víctimas con esta metodología para posteriormente vender las credenciales en la Dark Web.

Sin embargo, Microsoft advierte que esta medida de protección podría ser explotada por los grupos de ciberdelicuentes para orquestar un ataque de denegación de servicio (DoS). Para ello bastaría con lanzar ataques de fuerza bruta en paralelo a todas las cuentas de la organización contra el RDP en intervalos de diez minutos para bloquearlas todas durante el tiempo que dure el ataque.

fuente:unaaldia.hispasec