AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Microsoft refuerza Windows contra ataques de phishing mediante archivos .rdp con nuevas protecciones**

admin

### 1. Introducción

Microsoft ha anunciado la implementación de nuevas protecciones de seguridad en Windows orientadas a mitigar los crecientes riesgos asociados al uso malicioso de archivos de conexión de escritorio remoto (.rdp). Esta medida responde a un aumento significativo en las campañas de phishing que explotan configuraciones inseguras de RDP, un vector de ataque que ha sido especialmente aprovechado por actores de amenazas para comprometer credenciales y desplegar malware en entornos corporativos.

### 2. Contexto del Incidente o Vulnerabilidad

Durante los últimos años, el uso de archivos .rdp maliciosos ha ganado popularidad entre grupos de amenazas tanto avanzados (APT) como cibercriminales oportunistas. Estos archivos, diseñados originalmente para facilitar la conexión remota a sistemas Windows, pueden ser manipulados para engañar a los usuarios y lograr la ejecución de código no autorizado, robo de credenciales o propagación lateral dentro de la red.

La facilidad para distribuir archivos .rdp por correo electrónico, plataformas de mensajería e incluso a través de repositorios públicos, junto con la confianza que muchos usuarios depositan en este tipo de recursos, ha hecho que estas técnicas sean especialmente efectivas en campañas de phishing dirigidas.

### 3. Detalles Técnicos

La vulnerabilidad radica en la posibilidad de configurar archivos .rdp para compartir recursos locales (como discos, portapapeles o impresoras) o para almacenar credenciales, lo que puede ser aprovechado por atacantes para exfiltrar datos o escalar privilegios una vez establecida la conexión.

Microsoft ha identificado que los archivos .rdp pueden incluir parámetros como `redirectdrives:i:1` o `redirectclipboard:i:1`, que permiten el reenvío de dispositivos y recursos locales al host remoto. Asimismo, es posible preconfigurar credenciales mediante los campos `username:s:` y `password 51:b:`, facilitando ataques de credential harvesting.

En respuesta, las últimas versiones de Windows (incluyendo Windows 11 23H2 y Windows 10 22H2 con los parches de junio de 2024) incorporan advertencias explícitas al abrir archivos .rdp provenientes de ubicaciones no confiables y deshabilitan por defecto la redirección de recursos compartidos. Además, en el contexto MITRE ATT&CK, estas técnicas se alinean con los identificadores T1078 (Valid Accounts), T1021.001 (Remote Desktop Protocol) y T1566 (Phishing).

Por otro lado, se han identificado indicadores de compromiso (IoC) en campañas recientes, entre ellos:

– Archivos .rdp con rutas UNC sospechosas.
– Parámetros de redirección activados sin justificación legítima.
– Cadenas ofuscadas en campos de credenciales.
– Correo electrónico con adjuntos .rdp y textos de ingeniería social.

### 4. Impacto y Riesgos

El abuso de archivos .rdp puede tener consecuencias graves para organizaciones y usuarios:

– Acceso no autorizado a sistemas internos.
– Robo de credenciales de Active Directory.
– Implantación de ransomwares como LockBit o BlackCat, que aprovechan la lateralidad por RDP.
– Exfiltración de archivos sensibles mediante discos o portapapeles redirigidos.

Según datos de Microsoft y estudios sectoriales, cerca del 15% de los incidentes de brechas internas en 2023 estuvieron relacionados con la explotación de RDP, y el coste medio asociado a un ataque exitoso supera los 250.000 euros, considerando sanciones por GDPR y pérdida de productividad.

### 5. Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los equipos de seguridad aplicar las siguientes acciones:

– Mantener los sistemas Windows actualizados con los parches de seguridad más recientes.
– Deshabilitar la redirección de recursos en políticas de grupo (GPO) para conexiones RDP.
– Bloquear la ejecución automática de archivos .rdp descargados de fuentes externas.
– Utilizar soluciones EDR capaces de identificar y bloquear intentos de abuso de RDP.
– Monitorizar eventos relacionados con la apertura de archivos .rdp y establecer alertas SIEM para comportamientos anómalos.
– Formar a los usuarios sobre los riesgos de abrir archivos .rdp no solicitados y los signos de phishing.
– Cumplir con los requisitos de la directiva NIS2 y el GDPR en materia de protección de accesos remotos.

### 6. Opinión de Expertos

Expertos en ciberseguridad como Marcus Hutchins, investigador de Kryptos Logic, señalan que “el endurecimiento de la gestión de archivos .rdp es un paso esencial para frenar la propagación lateral y los ataques basados en ingeniería social, pero debe ir acompañado de una gestión estricta de credenciales y una monitorización proactiva de la red”.

Desde el sector de los MSSP, se destaca que “la integración de advertencias nativas en el sistema operativo reduce el riesgo de error humano, pero los atacantes seguirán buscando vectores alternativos o métodos de evasión, por lo que la defensa en profundidad sigue siendo imprescindible”.

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones que dependen de RDP para el acceso remoto, estas nuevas protecciones suponen una mejora relevante en la postura de seguridad, pero requieren revisar y adaptar procedimientos internos. Los administradores deben auditar los repositorios de archivos .rdp y establecer controles de acceso y supervisión.

Para los usuarios finales, la aparición de advertencias explícitas puede reducir la tasa de éxito de ataques de phishing, aunque la concienciación y la formación siguen siendo factores críticos de protección.

### 8. Conclusiones

La decisión de Microsoft de reforzar la seguridad en torno al uso de archivos .rdp es una respuesta necesaria a una amenaza en evolución, que afecta tanto a grandes empresas como a PYMES y usuarios particulares. La combinación de advertencias, configuración segura por defecto y medidas de concienciación constituye una estrategia efectiva, aunque no definitiva, ante el abuso de RDP en campañas de phishing y ataques dirigidos. Las organizaciones deben adoptar un enfoque multifacético, combinando tecnología, procedimientos y formación para mitigar el riesgo y adaptarse a las exigencias regulatorias actuales y futuras.

(Fuente: www.bleepingcomputer.com)