El servicio de terminal server en servidores windows o equipos windows (que usa el protocolo RDP), es muy utilizado para acceder de forma remota a los escritorios de los servidores o equipos de las empresas, por lo que se convierte por si solo en un punto de ataque para los ciberdelicuentes.

 

Existen dos puntos o vectores de ataque para este servicio, usando exploits de vulnerabilidades conocidas para el protocolo RDP, como por ejemplo BuelKeep (CVE-2019-0708), o usando fuerza bruta en las credenciales usadas para acceder al sistema, la fuerza bruta se encarga de romper las contraseñas débiles, también un atacante podría usar un servicio de bases de datos de contraseñas “robadas” para intentar acceder al sistema remoto.

 

Un vez se consigue el acceso, un atacante podría liberar un ransomware que secuestre todos los datos del sistema, este malware también podria propagarse por la red interna de la empresa, infectando mas equipos.

 

Todo el que use este servicio de actualizar terminal server con los últimos parches de microsoft y endurecer su política de contraseñas para poner mas difícil su ruptura a través de fuerza bruta.