Windows 11 ora blocca gli attacchi di forza bruta RDP per impostazione predefinita
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 22 Luglio 2022
Tags: #rdp, #microsoft, #windows
Tags: #rdp, #microsoft, #windows
Windows 11 ora blocca gli attacchi di forza bruta RDP per impostazione predefinita
Le build recenti di Windows 11 vengono fornite con il criterio dei criteri di blocco dell'account abilitato per impostazione predefinita che bloccherà automaticamente gli account utente (inclusi gli account amministratore) dopo 10 tentativi di accesso non riusciti per 10 minuti.
Il processo di forzatura bruta dell'account richiede comunemente di indovinare le password utilizzando strumenti automatizzati. Questa tattica è ora bloccata per impostazione predefinita sulle ultime build di Windows 11 (Insider Preview 22528.1000 e successive) dopo aver fallito nell'immissione della password corretta 10 volte di seguito.
"Le build di Win11 ora hanno una politica di blocco dell'account DEFAULT per mitigare RDP e altri vettori di password di forza bruta", ha twittato giovedì David Weston, VP per Enterprise e OS Security di Microsoft.
"Questa tecnica è molto comunemente utilizzata in Human Operated Ransomware e altri attacchi: questo controllo renderà molto più difficile la forza bruta, il che è fantastico!"
Come ha anche affermato Weston, la forzatura bruta delle credenziali è una tattica popolare tra gli attori delle minacce per violare i sistemi Windows tramite Remote Desktop Protocol (RDP) quando non conoscono le password dell'account.
L'uso di Windows Remote Desktop Services per violare le reti aziendali è così diffuso tra i criminali informatici che l'FBI ha affermato che RDP è responsabile di circa il 70-80% di tutte le violazioni della rete che portano ad attacchi ransomware.
Insieme ad altre modifiche incentrate sulla sicurezza recentemente annunciate da Microsoft, tra cui il blocco automatico delle macro di Office nei documenti scaricati e l'applicazione dell'autenticazione a più fattori (MFA) in Azure AD, la società sta lentamente chiudendo tutti i vettori di accesso utilizzati dagli operatori di ransomware per violare le reti Windows e sistemi.
Il criterio di blocco dell'account è disponibile anche sui sistemi Windows 10. Tuttavia, sfortunatamente, non è abilitato per impostazione predefinita, consentendo agli aggressori di farsi strada con la forza bruta nei sistemi Windows con servizi RDP (Remote Desktop Protocol) esposti.
Gli amministratori possono configurare questo criterio su Windows 10 nella Console di gestione dei criteri di gruppo da Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri di blocco dell'account.
Si tratta di un miglioramento fondamentale della sicurezza poiché molti server RDP, in particolare quelli utilizzati per aiutare i telelavoratori ad accedere alle risorse aziendali, sono direttamente esposti a Internet, esponendo la rete delle organizzazioni ad attacchi se configurati in modo errato.
Per mettere le cose in prospettiva, gli attacchi ai servizi RDP hanno visto un forte aumento almeno dalla metà della fine del 2016, a partire dall'aumento della popolarità dei mercati del dark web che vendono l'accesso RDP alle reti compromesse, secondo un rapporto dell'FBI IC3 del 2018.
Una menzione degna di nota è UAS, il più grande mercato di hacker per le credenziali RDP rubate a un certo punto, che ha fatto trapelare nomi di accesso e password per 1,3 milioni di server Windows Remote Desktop attuali e storicamente compromessi.