Botnet GoldBrute para RDP é ativado. Saiba como se proteger.

Veja como se defender e trocar a porta do RDP.

Botnet GoldBrute para RDP é ativado.  Saiba como se proteger.

O anúncio da descoberta de uma campanha agressiva de força bruta contra cerca de 1,5 milhão de servidores Microsoft com RDP exposto na internet, por um botnet chamado GoldBrute deixou o mundo de hostings de cabelo em pé.

Os alvos da tentativa de invasão estãolocalizados em servidores nos Estados Unidos e China.

A descoberta veio logo após a advertência da própria Microsoft, ainda em maio, sobre o risco de uma perigosa vulnerabilidade chamada BlueKeep (CVE-2019-0708) nas estações Windows e nos Serviços de Área de Trabalho Remota (RDS) que usam RDP.

A estimativa do número de servidores no estado vulnerável é de 2,4 milhões, dos quais 1,6 milhões já foram submetidos a uma tentativa de ataque de força bruta visando credenciais fracas.

Existem algumas alternativas para este problema:

1) Se o RDP não for necessário para acessar o seu Servidor, é melhor desligar o serviço e definir uma regra de firewall para bloquear o RDP na porta 3389, sua porta padrão.  Observe que o Terminal Services pode ser desinstalado.

2) Se o RDP for necessário, considere usá-lo através de uma VPN em um firewall, para que ele não seja exposto na Internet.  Ou utilize o firewall apenas para redirecionar de uma porta externa diferente da 3389 para a porta 3389 no Servidor.

3) Utilize diretivas para que apenas uma conta de administrador, ou apenas as contas estritamente necessárias o usem.

4) Troque as senhas por senhas fortes e grandes, que combinem caracteres, letras e números.

5) Utilize o RDP em outra porta, que não a padrão, 3389.

Como alterar a porta do RDP:

1) Abra o regedit.exe.

2) Encontre a chave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

3) Clique duas vezes na subchave de registro “PortNumber”, selecione a base decimal e digite o número da porta de sua escolha (a porta padrão é 3389).  Observe corretamente as portas disponíveis no seu Servidor, para não adicionar uma porta já existente em deteroinado serviço. 

4) Salve e reinicie o Servidor.

É importante que você teste antes localmente, para verificar se o serviço iniciou corretamente.

Boa sorte!

Veja mais sobre os patches abaixo:


Clique aqui para ver mais