Avete un remote desktop esposto a Internet?

Molte piccole realtà o privati hanno un remote desktop di Windows esposto direttamente a Internet.

È vero che non sempre può essere installato e configurato opportunamente un firewall vuoi per ragioni di budget, vuoi per ragioni logistiche, vuoi perché il lucchetto costerebbe 10 volte la bicicletta che deve proteggere.

Internet Storm Center ha segnalato un incremento dell’attività sulla porta 3389/tcp ms-term-services utilizzata dai servizi terminal e remote desktop (RDP) di Windows.

Chi ha un remote desktop aperto ad Internet dovrebbe, quindi, prendere almeno queste due precauzioni.

Innanzi tutto, utilizzare password lunghe e cambiarle spesso; dove lunghe vale almeno 15 caratteri e spesso vale non più di due o tre mesi.

In secondo luogo, sarebbe meglio cambiare la porta su cui Windows si aspetta le connessioni RDP. La porta è specificata nella voce DWORD di registry HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber e può essere cambiata con qualsiasi valore da 1025 a 65535 (decimali). Per attivare la modifica è necessario riavviare il computer.

Quando ci ci collega via RDP ad un Windows con il servizio impostato su una porta differente bisogna specificare la porta di seguito al nome dell’host in questo modo:

Se le impostazioni sono salvate in un file .CNS, basta aprire quel file con un editor di testo (il notepad va benissimo), trovare la riga Server Port=3389 e sostituire il valore con quello nuovo.

Alcuni client RDP diversi da quello di Microsoft o il vecchio client RDP ActiveX di Microsoft non supportano o potrebbero non supportare una porta diversa da quella di default.

Ovviamente se nel router Internet o nel firewall installato sul computer da amministrare sono state create delle regole per la porta 3389, queste vanno aggiornate con il nuovo valore della porta. (via ISC)

Aggiornamento 28/8/2011 15:15 – Secondo quanto riportato da Mikko Hypponen, l’attività sulla porta 3389 sarebbe causata da Morto, un worm che si sta diffondendo su Internet e colpisce i server RDP.

Aggiornamento 28/8/2011 16:00F-Secure riporta i dettagli di Morto: se trova un terminal server sulla porta 3389 inizia a fare un attacco di forza bruta per cercare la password dell’utente Administrator. Se riesce ad entrare crea un disco temporaneo A: e ci copia un file A.DLL. In seguito crea altri file tra cui \windows\system32\sens32.dll e \windows\offline web pages\cache.txt
Ancora una volta, chi ha aperta la connessione RDP non deve usare password facili da indovinare.

Aggiornamento 28/8/2011 17:00 – Il worm Morto, una volta che infetta un sistema, va alla ricerca di server RDP infetti anche nella LAN locale. È, quindi, fondamentale avere gli antivirus opportunamente aggiornati.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Avete un remote desktop esposto a Internet?”

  1. Io non mi sono mai fidato di RDP e ho sempre usato openvpn per trasportarlo, tranne nei casi nei quali nonostante il mio consiglio il cliente (o il fornitore del gestionale del cliente che vuole l’accesso remoto) ha deciso di fare di testa sua. Per questi stolti, mi auguro una rapida e sanguinosa craccatura dell’ RDP con installazione di malware e siti ftp warez a tutta manetta. Non potro` che ridere di loro e proferire la mia frase preferita: “te l’avevo detto!”

Spazio per un commento