Ha sido uno de los bugs que marcarán el 2012: El bug del protocolo RDP que permite comprometer remotamente cualquier sistema Windows. Esta vulnerabilidad, para la que hay varios exploits públicos y que está siendo activamente explotada, es sin duda una de las vulnerabilidades más crítica que ha sido publicada recientemente para sistemas Windows.
Dado que a día de hoy es uno de los bugs que más interés despierta (y una vez añadido el exploit a metasploit, con más razón) viene bien monitorizar quien está 'jugando' con el.
Para ello, vamos a usar Patriot NG y su característica de monitorización de intentos de conexión a puertos.
El primer paso es detener Patriot, para ello buscamos el tray
Con el botón derecho del ratón seleccionamos 'stop'
El siguiente paso es añadir el puerto del RDP (3389) a la lista de puertos calientes, para ello nos situamos en:
C:\Archivos de programa\Patriot NG
Donde podemos localizar un fichero llamado 'destports.ini'
Una vez ahí, editamos el fichero con notepad y vemos que la estructura del fichero es bastante sencilla: [puerto]
Por tanto, añadimos el puerto al final del fichero:
Salvamos y desde el tray, volvemos a arrancar Patriot:
Con esto ya tenemos configurado Patriot para detectar intentos de conexión a ese puerto, cada vez que alguien lo intente, podremos ver el intento y bloquear la IP
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.