Para as empresas que já são clientes da ConexTI esta informação não é nenhuma novidade. Todos os nossos clientes corporativos são orientados a seguirem as boas práticas de Segurança da Informação e jamais publicar ou permitir acesso remoto de terminal em servidores Windows, sem que isso seja feito por intermédio de uma VPN.

Modelo típico de implementação de uma VPN

Uma VPN (Virtual Private Network) é basicamente uma metodologia composta por 3 aspectos importantíssimos para garantir a segurança de acessos remotos à servidores ou estações em geral. Neste sentido, você só pode considerar seguro um acesso deste tipo se existir:

  1. Tunelamento
  2. Autenticação
  3. Criptografia

Existem muitas ferramentas e soluções para se implementar este tipo de acesso remoto seguro na rede da sua empresa (incluindo recursos do próprio Windows Server). Um exemplo delas, é o ConexTI Proteux – nosso Firewall/UTM que dentre outras coisas – permite configuração de VPNs do tipo Site-to-Site e Client-to-Site.

Um problema ainda mais grave

O que sempre foi inseguro, desde o último dia 28/05/2019, passou a se tornar ainda mais preocupante. Com a descoberta de uma nova vulnerabilidade em servidores Windows, intitulada de BlueKeep, estima-se que mais de 1 milhão de computadores estão vulneráveis no mundo.

A brecha BlueKeep (CVE-2019-0708) acontece em sistemas operacionais Windows 2003, Windows XP, Windows 7, Windows Server 2008 e Windows 2008 R2. Ela permite que hackers executem códigos arbitrários sem autenticação e tomem controle de um computador alvo por meio de pedidos desenvolvidos para o Remote Desktop Service (RDS) de um PC em específico.

O maior perigo da BlueKeep “não é nem” a brecha em si, mas a capacidade que ela tem de distribuir malware e facilitar que ele propague por sistemas conectados, como o WannaCry, o ransomware que infectou mais de 300 mil PCs em 2017 e ainda faz vítimas pelo mundo.

O que fazer?

Quanto ao BlueKeep, a indicação básica de ações a serem tomadas, são:

  1. Cheque se o seu Windows está com a última atualização de segurança instalada via Windows Update;
  2. Desativar o serviço RDP, se não for necessário;
  3. Bloquear a porta TCP/3389 usando um firewall ou torne-a acessível apenas por uma VPN privada;
  4. Habilitar Autenticação no Nível da Rede (NLA).