4 ‐ Ataques a RDP - tusaa/Seguridad_RDP GitHub Wiki

Ataques a RDP

Estadísticas de ataques a RDP

Aumento de los ataques por fuerza bruta desde 2020, según Kaspersky

En un artículo de Kasperksy del año 2020 analizan el considerable aumento de los ataques al servicio RDP, coincidiendo con la pandemia COVID-19. Según los datos recopilados, este es un problema global que afecta en general a todos los países rdp-stats-all Imagen; Incidencia del ataque Bruteforce.Generic.RDP sobre algunos países entre los meses de febrero a abril de 2020. Fuente; https://securelist.com/remote-spring-the-rise-of-rdp-bruteforce-attacks/96820/

También en la propia página de Kaspersky se puede encontrar un panel de control de información sobre la incidencia de cualquier ataque por países. En el caso concreto de España para el mes de enero de 2024 los ataques por fuerza bruta a RDP representan el 87% de los ataques efectuados a través de la red.

Imagen: Top de los ataques de red más detectados en España. Fuente; https://statistics.securelist.com/country/spain/intrusion-detection-scan/month/

Los usuarios más atacados según TRUNC

Según https://trunc.org/learning/brute-force-attacks-against-windows-remote-desktop el 75% de los ataques a RDP se efectuaron contra el usuario "Administrator" o "Administrador"

Imagen; Usuarios más utilizados en los ataques de fuerza bruta mediante RDP a los servidores de TRUNC. Fuente; https://trunc.org/learning/brute-force-attacks-against-windows-remote-desktop

Ataques de fuerza bruta o de diccionario

Artículo que muestra cómo realizar un ataque de fuerza bruta con la herramienta Lazy-RDP (no disponible) sobre un W2008 R2; https://jaymonsecurity.com/ransomware-escritorio-remoto-rdp/

En este otro artículo se efectúa un ataque de diccionario usando Hydra; https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

Imagen; ejecución de un ataque de diccionario contra RDP usando Hydra. Fuente; https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

Vulnerabilidades propias del protocolo RDP

Bluekeep

Guía de cómo utilizar Metasploit para abusar de la vulnerabilidad BlueKeep (de RDP) sobre una máquina W2008 https://pentest-tools.com/blog/bluekeep-exploit-metasploit

Otra guía sobre explotación de Bluekeep; https://blog.syselement.com/ine/courses/ejpt/hostnetwork-penetration-testing/1-system-attack/windows-attacks/rdp

Otro artículo con una demostración de Bluekeep; https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

MS12-020 (CVE-2012–0002)

En 2012 apareció una vulnerabilidad en el protocolo RDP que permitía a un atacante remoto ejecutar código remoto o efectuar una denegación de servicio. Los sistemas afectados eran Windows XP, Windows Vista, windows 7 y Windows Server 2008.

Artículos de referencia;

Visión general sobre MS12-020 https://medium.com/guayoyo/vulnerabilidades-%C3%A9picas-windows-rdp-cve-2012-0002-5e201471ec4d
https://www.welivesecurity.com/la-es/2012/03/20/grave-vulnerabilidad-ms12-020-sistemas-microsoft/
Script de nmap para detectar sistemas vulnerables: https://nmap.org/nsedoc/scripts/rdp-vuln-ms12-020.html
Detalles del CVE y módulos de metasploit https://www.cvedetails.com/cve/CVE-2012-0002/

Ataques Man-in-the-middle

En este artículo se muestra cómo usar SETH para llevar a cabo un ataque MitM https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

Otra explicación sobre la misma técnica también la podemos encontrar aquí; https://pentestlab.blog/2018/04/24/lateral-movement-rdp/

Extracción de credenciales (dumping)

Imagen; extracción de credenciales con Minikatz. Fuente; https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

En este artículo de 2019 https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/ se explica una técnica para extraer credenciales en texto plano de usuarios con una sesión de RDP abierta. Esto es útil para un atacante que ha conseguido comprometer a un usuario y sólo dispone de acceso a los tokens de sesión. Gracias a RDP podrá acceder a las credenciales en texto plano.

En este otro artículo se desarrollan diferentes técnicas de extracción de credenciales, algunas se basan en analizar los procesos en memoria relacionados con RDP, y otra técnica consiste en examinar Credential Manager de Windows donde pueden estar las credenciales de las conexiones que ha guardado el usuario.

Robo de sesiones RDP

Este ataque consiste en acceder a la sesión RDP de otro usuario desde otra sesión RDP controlada por un atacante en la misma máquina. Explicación; https://www.hackingarticles.in/remote-desktop-penetration-testing-port-3389/

Otra explicación sobre esta técnica; https://pentestlab.blog/2018/04/24/lateral-movement-rdp/