Programa de acesso remoto do Windows é alvo de ataque hacker de grande escala

A firma de cibersegurança GreyNoise identificou acessos massivos aos portais de autenticação do Microsoft Remote Desktop Web Access e RDP Web Client, num indicativo de que um ataque hacker massivo pode estar a caminho. Foram dezenas de milhares de endereços de IP acessando os canais ao mesmo tempo — sendo que a média normal fica entre 3 a 5 acessos diários —, além de outros sinais preocupantes.

• Como configurar o acesso remoto do Windows
• 5 alternativas ao Anydesk gratuitas

A origem da grande maioria dos acessos é o Brasil, com os alvos estando nos Estados Unidos. Isso indica que a ação pode estar vindo de uma única botnet (rede de dispositivos infectados por malware) ou um conjunto de ferramentas de ataque coordenadas para o acesso em massa desses serviços web.

Falha de tempo e possíveis invasões

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo a GreyNoise, 1.971 IPs foram vistos acessando os serviços de acesso remoto, sendo que 1.851 compartilhavam a mesma assinatura de cliente. Para piorar, 92% dos IPs já tinham sido sinalizados como maliciosos no passado. Horas depois, foram vistos muito mais acessos — 56.771, com praticamente a mesma assinatura de cliente. Aparentemente, o esforço visa explorar falhas de tempo, ou seja, momentos em que o tempo de resposta de um sistema revela informações sensíveis sem querer.

Em outras palavras, o RDP, ao tentar ser acessado, demora tempos diferentes para responder quando um login com nome de usuário válido é feito em comparação com um login de nome inválido. Os hackers, então, provavelmente testaram inúmeros nomes de uma só vez para verificar se os logins existem na base de dados, o que seria um preparativo para um ataque futuro.

Segundo a empresa de segurança, isso pode estar ligado ao momento da volta às aulas nos Estados Unidos — é nesse período que os sistemas de acesso remoto das universidades, baseados em RDP, são reativados, com milhares de contas de estudante novas sendo criadas. A maioria acaba tendo um nome de usuário previsível, como “nome.sobrenome”, por exemplo, o que facilita na hora de adivinhar as credenciais de acesso.

O aumento incomum na atividade também pode indicar a descoberta de uma nova vulnerabilidade: a GreyNoise já notou, no passado, que picos de tráfego malicioso costumam acontecer antes da divulgação de falhas de segurança ao público. Às empresas, recomenda-se garantir que as contas dos usuários estão protegidas com autenticação por dois fatores ou mais (2FA ou MFA) e, quando possível, usar VPNs para os serviços de acesso remoto.

Leia mais:

• ChatGPT falso espalha ataques de ransomware, avisa Microsoft
• Entenda o que é backdoor e a diferença com os trojans
• Bandidos usam arquivos poliglotas em ondas de ataques que já duram anos

VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]

Fonte: GreyNoise