Microsoft ahora está tomando medidas para evitar los ataques de fuerza bruta del Protocolo de escritorio remoto (RDP) como parte de las últimas compilaciones del sistema operativo Windows 11 en un intento de aumentar la línea base de seguridad para hacer frente al cambiante panorama de amenazas.
Con ese fin, la política predeterminada para las compilaciones de Windows 11, en particular, las compilaciones de Insider Preview 22528.1000 y posteriores, bloqueará automáticamente las cuentas durante 10 minutos después de 10 intentos de inicio de sesión no válidos.
«Las compilaciones de Win11 ahora tienen una política de bloqueo de cuenta PREDETERMINADA para mitigar RDP y otros vectores de contraseñas de fuerza bruta», David Weston, vicepresidente de seguridad y empresa del sistema operativo de Microsoft, dijo en una serie de tuits la semana pasada. «Esta técnica se usa muy comúnmente en ransomware operado por humanos y otros ataques. ¡Este control hará que la fuerza bruta sea mucho más difícil, lo cual es increíble!»
Vale la pena señalar que mientras esto configuración de bloqueo de cuenta ya está incorporado en Windows 10, no está habilitado de forma predeterminada.
También se espera que la función, que sigue a la decisión de la empresa de reanudar el bloqueo de macros de la aplicación Visual Basic (VBA) para documentos de Office, se adapte a versiones anteriores de Windows y Windows Server.
Además de las macros maliciosas, el acceso RDP por fuerza bruta ha sido durante mucho tiempo uno de los la mayoría popular métodos utilizado por los actores de amenazas para obtener acceso no autorizado a los sistemas de Windows.
Se sabe que LockBit, que es una de las pandillas de ransomware más activas de 2022, a menudo confía en RDP para el punto de apoyo inicial y las actividades de seguimiento. Otras familias vistas usando el mismo mecanismo incluyen Conti, Hive, PYSA, crisis, SamSam y Dharma.
Al implementar este nuevo umbral, el objetivo es disminuir significativamente la eficacia del vector de ataque RDP y prevenir las intrusiones que se basan en la adivinación de contraseñas y las credenciales comprometidas.
«El RDP de fuerza bruta es el método más común utilizado por los actores de amenazas que intentan obtener acceso a los sistemas Windows y ejecutar malware», señaló Zscaler el año pasado.
«Los actores de amenazas buscan […] abrir públicamente puertos RDP para realizar ataques distribuidos de fuerza bruta. Los sistemas que usan credenciales débiles son objetivos fáciles y, una vez comprometidos, los atacantes venden el acceso a los sistemas pirateados en la web oscura a otros ciberdelincuentes».
Dicho esto, Microsoft, en su documentación, advierte sobre posibles ataques de denegación de servicio (DoS) que podrían orquestarse al abusar de la configuración de la política de umbral de bloqueo de la cuenta.
«Un usuario malicioso podría intentar programáticamente una serie de ataques de contraseña contra todos los usuarios de la organización», dijo la empresa. notas. «Si el número de intentos es mayor que el valor del umbral de bloqueo de la cuenta, el atacante podría bloquear todas las cuentas».