Uma campanha de reconhecimento massiva e coordenada está a visar os portais de autenticação do Microsoft Remote Desktop Web Access e do RDP Web Client. A empresa de cibersegurança GreyNoise detetou um pico de atividade invulgar, com quase 2.000 endereços IP a sondar estes serviços em uníssono, levantando preocupações sobre a preparação de futuros ciberataques.
Uma mudança drástica na atividade maliciosa
Segundo os investigadores, esta onda de scans representa uma alteração significativa no panorama habitual. A empresa, que normalmente regista entre três a cinco endereços IP por dia a realizar este tipo de varrimento, identificou agora 1.971 IPs envolvidos na campanha. A análise revelou que 1.851 destes IPs partilhavam a mesma assinatura de cliente, e cerca de 92% destes já estavam sinalizados como maliciosos.
A origem predominante dos ataques é o Brasil, com os alvos a concentrarem-se nos Estados Unidos, o que sugere a ação de uma única botnet ou de um conjunto de ferramentas de ataque concertado. O objetivo parece ser a exploração de "falhas de tempo" para verificar a validade de nomes de utilizador, um passo preparatório para ataques de força bruta ou de "password-spraying".
A técnica da falha de tempo
As falhas de tempo ocorrem quando o tempo de resposta de um sistema revela, de forma não intencional, informação sensível. Neste caso específico, uma ligeira diferença no tempo que o RDP demora a responder a uma tentativa de login com um nome de utilizador válido, em comparação com um inválido, pode permitir que os atacantes confirmem se o nome de utilizador existe na base de dados, facilitando ataques subsequentes.
O timing do ataque pode não ser coincidência
A GreyNoise sugere que o momento escolhido para esta campanha pode estar estrategicamente ligado ao período de regresso às aulas nos Estados Unidos. Nesta altura, muitas escolas e universidades reativam os seus sistemas de acesso remoto baseados em RDP e criam milhares de novas contas para estudantes, que frequentemente seguem formatos de nome de utilizador previsíveis (como nome.apelido), tornando a enumeração de contas mais eficaz.
Contudo, este aumento súbito na atividade de scanning pode também ser um prenúncio da descoberta de uma nova vulnerabilidade. A empresa de segurança já observou no passado que picos de tráfego malicioso precedem frequentemente a divulgação pública de novas falhas de segurança.
Para os administradores de sistemas que gerem portais RDP e dispositivos expostos, a recomendação é clara: garantir que todas as contas estão devidamente protegidas com autenticação multifator (MFA) e, sempre que possível, colocar estes serviços de acesso remoto por trás de uma VPN.
Nenhum comentário
Seja o primeiro!