Last Patch Tuesday, Microsoft lançou o Security Update MS12-020 para fechar duas falhas recentemente descobertas na implementação do RDP (Remote Desktop Protocol) pela Microsoft. Uma delas rotula a Microsoft como “crítica” porque poderia permitir aos hackers obter controle do LocalSystem em uma caixa do Windows com o RDP ativado.
Como você provavelmente já deve ter ouvido falar, esta é uma situação de alto risco — uma que poderia resultar em uma epidemia tão grave quanto a causada pelo Code Red, Melissa, ou SQL Slammer. Corrigir ou remediar agora!
Microsoft irá ajudá-lo a fazer as duas coisas. Você pode instalar o patch ou executar um script de correção online para mitigar o problema até que o patch seja aplicado. O script habilita a Autenticação de Nível de Rede, que requer autenticação antes que um sistema remoto possa se conectar.
Mas eu tenho outros conselhos. Como venho recomendando há mais de uma década, os administradores devem considerar a possibilidade de rodar serviços conectáveis à Internet em portas que não sejam de default, se possível. Neste caso particular, o RDP deve ser executado em alguma outra porta além da porta 3389.
Este conselho se estende a outras áreas. Os sites de administração não devem ser executados na porta 80 ou mesmo na 443. SSH não deve estar escutando na porta 22. Os hosts Telnet não devem estar escutando na porta 23. O único serviço comum que não tenho sido capaz de obter de forma confiável em uma porta não padrão é o FTP: Ele usa as portas 21 e 22 (em modo passivo), e mesmo seu modo ativo (onde você pode indicar outras portas) não funciona bem através de firewalls.
No caso do RDP, você pode alterar a porta padrão seguindo este guia. Quando você muda a porta padrão, no entanto, você tem que indicar a porta não padrão na string de conexão (por exemplo, mstsc.exe 192.168.1.12:50045).
A minha recomendação para mudar a porta padrão de escuta em um serviço de toda a empresa é frequentemente recebida com críticas. O meu argumento central é este: Na maioria dos casos, uma empresa pode mudar a porta de escuta padrão, o que não causa problemas além da educação do administrador e reconfigurando alguns scripts e ferramentas, e diminui significativamente o risco de ataque armado.
Embora hackers e malware possam usar um scanner de portas como o Nmap para encontrar a nova porta, nenhuma exploração armada já fez a varredura de portas, embora facilmente pudessem. Esse fato sozinho lhe dá muita proteção.
Algumas pessoas chamam esse tipo de recomendação de “segurança por obscuridade”, como se fosse uma coisa ruim. Se você me perguntar, segurança por obscuridade é uma das melhores defesas. Caso contrário, cada nação divulgaria onde seus mísseis e submarinos nucleares estavam ao invés de manter a informação em segredo.
Para mim, o worm SQL Slammer é um dos melhores argumentos para colocar serviços comuns em portas não-definidas. Lançado em 2003, ele explorou quase todos os possíveis servidores SQL desprotegidos e sem patches conectados à Internet em 10 minutos. Ele explodiu cedo em uma manhã de domingo, e quando a maioria dos administradores acordou, os danos já estavam ocorrendo por quase um dia útil completo.
Basicamente, quando nós limpamos o sal crocante dos nossos olhos, estava acabado — então nós passamos as 48 horas seguintes (ou mais) tentando limpar a bagunça. Foi uma chamada de despertar.
Ninguém que tinha habilitado SQL em uma porta sem defeito (ou seja, uma porta além de 1433 e 1434) tinha que fazer qualquer coisa — além de ver calmamente todos os outros lidarem com seus desastres. Aqueles que trocaram de porta não tiveram que limpar uma grande bagunça. Eles não tinham que apressar os remendos. Eles não tinham servidores explorados. Uma mudança com impacto operacional mínimo e eles foram capazes de evitar toneladas de risco.
Certo que outras mitigações funcionam tão bem quanto, tais como requerer uma conexão VPN válida antes de se conectar ao serviço, requerer uma combinação de contatos de porta anteriores antes de habilitar o serviço, ou requerer autenticação bem sucedida antes que o serviço responda (esta é a solução Fix It da Microsoft), e qualquer outra coisa que possa protegê-lo contra ataques armados.
Mas não consigo pensar em nenhuma outra solução de segurança simples que diminua o risco tão efetivamente quanto mudar a porta padrão, quando possível. Se você seguir este conselho, mova a porta para um número razoavelmente alto, acima de 10.000 ou 12.000, para evitar possíveis conflitos de porta com outros serviços existentes. Teste todos os equipamentos de produção e atualize quaisquer firewalls ou proxies necessários. Os leitores que seguiram este conselho no passado não estão com muita pressa esta semana.