Clicky

Microsoft agrega en Windows 11 protección predeterminada contra ataques de fuerza bruta RDP

Ataque de fuerza bruta RDP

Aunque ya está incorporada desde Windows 10, no está habilitada de forma predeterminada

Microsoft está tomando medidas ahora para prevenir los ataques de fuerza bruta del Protocolo de Escritorio Remoto (RDP) como parte de las últimas compilaciones para el sistema operativo Windows 11 en un intento por elevar la línea de base de seguridad para cumplir con el panorama de amenazas en evolución.

Con ese fin, la política predeterminada para las compilaciones de Windows 11, en particular, las compilaciones de Insider Preview 22528.1000 y posteriores, bloqueará automáticamente las cuentas durante 10 minutos después de 10 intentos de inicio de sesión no válidos.

"Las compilaciones de Win11 ahora tienen una política de bloqueo de cuenta POR DEFECTO para mitigar RDP y otros vectores de contraseñas de fuerza bruta", dijo la semana pasada David Weston, vicepresidente de seguridad y empresa del sistema operativo de Microsoft, en una serie de tuits. "Esta técnica se usa muy comúnmente en ransomware operado por humanos y otros ataques. ¡Este control hará que la fuerza bruta sea mucho más difícil, lo cual es increíble!"

Vale la pena señalar que, si bien esta configuración de bloqueo de cuenta ya está incorporada en Windows 10, no está habilitada de forma predeterminada.

También se espera que la función, que sigue a la decisión de la empresa de reanudar el bloqueo de macros de la aplicación Visual Basic (VBA) para documentos de Office, se adapte a versiones anteriores de Windows y Windows Server.

account lockout policy en Windows

Aparte de las macros maliciosas, el acceso RDP por fuerza bruta ha sido durante mucho tiempo uno de los métodos más populares utilizados por los actores de amenazas para obtener acceso no autorizado a los sistemas Windows.

Se sabe que LockBit, que es una de las bandas de ransomware más activas de 2022, a menudo confía en RDP para el punto de apoyo inicial y las actividades de seguimiento. Otras familias vistas usando el mismo mecanismo incluyen Conti, Hive, PYSA, Crysis, SamSam y Dharma.

Al implementar este nuevo umbral, el objetivo es disminuir significativamente la eficacia del vector de ataque RDP y prevenir las intrusiones que se basan en la adivinación de contraseñas y las credenciales comprometidas.

"El RDP de fuerza bruta es el método más común utilizado por los actores de amenazas que intentan obtener acceso a los sistemas Windows y ejecutar malware", señaló Zscaler el año pasado.

"Los actores de amenazas buscan [...] puertos RDP abiertos públicamente para realizar ataques distribuidos de fuerza bruta. Los sistemas que utilizan credenciales débiles son objetivos fáciles y, una vez comprometidos, los atacantes venden a otros ciberdelincuentes el acceso a los sistemas pirateados en la dark web".

Dicho esto, Microsoft, en su documentación, advierte sobre posibles ataques de denegación de servicio (DoS) que podrían orquestarse al abusar de la configuración de la política de umbral de bloqueo de la cuenta.

"Un usuario malicioso podría intentar programáticamente una serie de ataques de contraseña contra todos los usuarios de la organización", señala la empresa. "Si el número de intentos es mayor que el valor del Umbral de bloqueo de la cuenta, el atacante podría potencialmente bloquear todas las cuentas".

Jesus_Caceres