Windows 11 bloquea, por defecto, los ataques de fuerza bruta en RDP

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Las últimas versiones de Windows 11 vienen con la política de bloqueo de cuentas activada por defecto, que bloqueará automáticamente las cuentas de usuario (incluidas las de administrador) después de 10 intentos fallidos de inicio de sesión durante 10 minutos.

El proceso de fuerza bruta de cuentas suele requerir la adivinación de las contraseñas mediante herramientas automatizadas. Esta táctica está ahora bloqueada por defecto en las últimas compilaciones de Windows 11 (Insider Preview 22528.1000 y más recientes) después de no introducir la contraseña correcta 10 veces seguidas.

“Las builds de Win11 tienen ahora una política de bloqueo de cuentas POR DEFECTO para mitigar el RDP y otros vectores de contraseñas por fuerza bruta”, tuiteó el jueves David Weston, vicepresidente de seguridad de empresas y sistemas operativos de Microsoft.

“Esta técnica se utiliza muy comúnmente en el ransomware operado por humanos y otros ataques – este control hará que la fuerza bruta sea mucho más difícil, ¡lo cual es impresionante!”

Como también dijo Weston, la forzadura bruta de credenciales es una táctica popular entre los actores de amenazas para violar los sistemas Windows a través del Protocolo de Escritorio Remoto (RDP) cuando no conocen las contraseñas de las cuentas.

El uso de los Servicios de Escritorio Remoto de Windows para violar las redes empresariales es tan frecuente entre los ciberdelincuentes que el FBI dijo que el RDP es responsable de aproximadamente el 70-80% de todas las violaciones de la red que conducen a ataques de ransomware.

La política de bloqueo de cuentas también está disponible en los sistemas Windows 10. Sin embargo, lamentablemente, no está habilitada por defecto, lo que permite a los atacantes entrar por fuerza bruta en los sistemas Windows con servicios de Protocolo de Escritorio Remoto (RDP) expuestos.

Los administradores pueden configurar esta política en Windows 10 en la consola de administración de directivas de grupo desde Configuración del equipo\NPolíticas\NConfiguración de Windows\NConfiguración de seguridad\NPolíticas de cuentas\NPolítica de bloqueo de cuentas.

Esta es una mejora de seguridad crucial, ya que muchos servidores RDP, especialmente los utilizados para ayudar a los teletrabajadores a acceder a los activos corporativos, están directamente expuestos a Internet, exponiendo la red de las organizaciones a ataques cuando están mal configurados.

Para poner las cosas en perspectiva, los ataques dirigidos a los servicios RDP han visto un fuerte aumento desde al menos mediados de finales de 2016, comenzando con el aumento de la popularidad de los mercados de la web oscura que venden acceso RDP a redes comprometidas, según un informe del FBI IC3 de 2018.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *