Ultimamente, temos assistido a um aumento de malware instalado através de RDP, ou dito de outro modo, Remote Desktop Protocol. Este é um protocolo poderoso que permite aos utilizadores acederem a um ambiente de trabalho Windows à distância. Infelizmente, enquanto o RDP pode servir um determinado número de propósitos a nível da configuração e administração de servidores, nas mãos erradas pode ser uma arma poderosa que irá permitir aos cibercriminosos controlarem o seu PC.

Como funciona?

Se o seu computador estiver à escuta de um sinal RDP, tipicamente através da porta 3380 e estiver ligado à Internet, vai responder quando um utilizador remoto o tentar contactar. O utilizador remoto irá receber uma janela de acesso ao seu ambiente do trabalho. Se tem uma boa configuração RDP o utilizador remoto terá de introduzir um nome de utilizador e palavra passe para se poder ligar. Se tiver uma configuração fraca, não terá quaisquer destas medidas implementadas e isto poderá ser o começo de uma grande dor de cabeça.

O que podem os intrusos fazer?

Se tiver privilégios de administração atribuídos à conta que os cibercriminosos estão a usar, eles poderão fazer tudo o que lhes apetecer. Na realidade será como se estivessem sentados fisicamente à frente do seu computador. Desde modo poderão reiniciá-lo, instalar malware ou vasculharem todos os ficheiros em busca de informações confidenciais.

Como parar isto?

A primeira coisa que deve verificar é se tem o RDP activado. Pode fazer esta verificação no Painel de Controlo (Control Panel) e mais concretamente em Sistema (System) > (Definições de Administração Remota) Remote Settings > Remote Desktop.

win7rdp

Na imagem acima verifica-se que o computador tem o RDP desactivado, sendo que ninguém irá conseguir ligar-se ao computador. Porém, se pretende escolher a opção “permitir ligações”, deverá perder algum tempo a definir quem se poderá ligar ao seu computador utilizando a caixa Seleccionar Utilizadores (Select Users).

rdp-users

Na imagem acima pode verificar que o nome de utilizador que está a usar já tem acesso.

Recentemente temos assistido a vários ataques baseados em RDP utilizando o troiano Win32/Filecoder.NAH, também conhecido por ACCDFISA, que tenta encriptar os ficheiros dos computadores e extorquir dinheiro que será enviado para os bolsos dos cibercriminosos.

Tudo isto pode ser evitado se desactivar um serviço do qual não necessita, ou configurá-lo com eficácia se dele necessitar.

Se não necessita de RDP desactive este serviço. Se necessita crie contas de acesso com nomes de utilizador pouco comuns e palavras passe fortes. Uma combinação inteligente será utilizar letras grandes e pequenas juntamente com números e símbolos. Outra forma de estar mais seguro no caso de necessitar de RDP será mudar a porta normalmente utilizada, a 3389, para outra. Se tiver dúvidas acerca deste processo veja aqui como o poderá fazer http://support.microsoft.com/kb/306759.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*