Por Mikella Marley
21 de outubro de 2025
Mais de 600 milhões de ciberataques ocorrem globalmente todos os dias, mas nem toda violação é inevitável. Muitas vezes, atacantes exploram fraquezas conhecidas dentro das normas operacionais.
Lightweight Directory Access Protocol (LDAP), Remote Procedure Call (RPC) e Remote Desktop Protocol (RDP) representam parte essencial do tecido conectivo das operações de TI, permitindo que usuários se conectem, administradores gerenciem dispositivos e serviços se comuniquem em todo o ambiente. Mas a que custo?
Protocolos de gerenciamento remoto inseguros e portas sensíveis introduzem vulnerabilidades ocultas de rede, criando um backdoor que equipes de segurança, por muito tempo, foram obrigadas a deixar destrancado. Vamos examinar de perto como portas e protocolos comuns como LDAP, RPC e RDP deixam as organizações expostas, e como é possível fortalecer a segurança sem interromper as operações.
Conectividade, Controle e Movimento Lateral: Como Protocolos Comuns Criam Riscos de Segurança
Redes corporativas geralmente dependem de um conjunto de portas-chave para autenticação, acesso remoto e atividades administrativas, incluindo:
- LDAP portas 389 ou 636 para consultas de identidade e autenticação
- Porta 135 e uma faixa dinâmica de portas altas para operações RPC, como gerenciamento e chamadas de serviço
- RDP porta 3389 para logins remotos e administração de sistemas
No entanto, os mesmos protocolos que sustentam a conectividade moderna frequentemente pavimentam trilhas de movimento lateral, tornando-se vetores recorrentes em ataques de zero-day. Como fornecem funcionalidades legítimas e críticas, essas portas permanecem abertas por padrão, criando caminhos sempre ativos que permitem que invasores obtenham acesso inicial, elevem privilégios e pivotem para sistemas sensíveis.
Portas LDAP e Vulnerabilidades de Segurança de Identidade
LDAP interage com o esquema do Active Directory e é amplamente usado para consultar informações de usuários e grupos. As portas LDAP (389, 636) devem permanecer abertas nos controladores de domínio para que o ambiente funcione.
Mas o reconhecimento costuma ser a primeira etapa após um invasor obter acesso à rede, e quase sempre o controlador de domínio é o alvo. Ele contém uma riqueza de informações: contas, computadores, serviços, grupos, dados DNS, políticas GPO, dados de CA e muito mais.
Com isso em mente, fica claro porque os atacantes têm explorado cada vez mais operações LDAP inesperadas ou permissivas nos últimos anos.
Exemplos Reais: Ataques LDAP
Os últimos anos viram um aumento de explorações baseadas em LDAP, incluindo:
- LDAPNightmare (CVE-2024-49112 & CVE-2024-49113), uma vulnerabilidade de execução remota de código no próprio protocolo LDAP
- Certified Pre-Owned, onde LDAP é usado para modificar atributos de certificados e burlar autenticação
- Ataques baseados em DACL, manipulando objetos do AD via LDAP para ganhar persistência ou elevar privilégios
- BadSuccessor, que explora Directory Managed Service Accounts (DMSA) para elevar privilégios
Em todos esses ataques, invasores usam funcionalidades legítimas de LDAP para evitar detecção, deixando equipes de defesa correndo atrás do prejuízo.
RPC: Serviços Expostos, Superfície de Ataque Expandida
RPC aumenta drasticamente a superfície de ataque ao expor serviços em servidores sensíveis como controladores de domínio. Como administradores não têm controle granular sobre serviços RPC específicos, muitas vezes acabam permitindo qualquer tráfego RPC, o que expõe todos os serviços RPC remotamente.
Em outras palavras, qualquer host Windows acessível na rede oferece centenas de funções RPC a um invasor, seja via credenciais roubadas ou exploração de vulnerabilidade. Além disso, RPC pode ser transportado por múltiplos protocolos e exposto por endpoints dinâmicos.
Como Atacantes Usam RPC
A comunicação RPC acontece constantemente em diversas aplicações e serviços, tanto local quanto remotamente. Essa onipresença é o motivo de RPC ser tão recorrente nas táticas e ferramentas dos atacantes.
Algumas funções RPC frequentemente usadas em ataques incluem:
- Tarefa Agendada Remota, Modificação Remota de Registro, WMI remoto via WMIC.exe, e DCOM remoto para movimento lateral e execução remota de código
- Criação Remota de Serviço (como usada por PsExec.exe)
- SharpHound e CornerShot para reconhecimento interno
- Exploração de PrintNightmare para RCE
- ZeroLogon para elevação de privilégios
- PetitPotam para facilitar ataques de relay
E a lista continua, na verdade, muitos dos ataques LDAP recentes também dependem de RPC.
Riscos do RDP para Movimento Lateral
RDP permite logins remotos interativos, sendo amplamente utilizado por administradores e equipes remotas. Mas isso também abre brechas.
Atacantes frequentemente usam força bruta em senhas fracas ou compram credenciais comprometidas na dark web. Ataques de força bruta contra portas RDP seguem entre os métodos mais utilizados para acesso inicial, especialmente em ataques de ransomware.
Após acessar, atacantes podem desabilitar segurança, exfiltrar dados ou implantar ransomware manualmente. Em outros casos, usam RDP para pular entre hosts fingindo ser administradores legítimos, como visto nos ataques SamSam e Conti.
Fechar portas RDP de forma estática não é viável, mas MFA tradicional, operando na camada 7, não consegue proteger portas como RDP de maneira dinâmica.
Boas Práticas para Proteger RDP, RPC, LDAP e Além
Segmente Ativos e Identidades de Forma Granular
Microsegmentação abrangente contém ameaças antes que se espalhem, limitando o impacto ao ativo comprometido. Com segmentação baseada em identidade, invasores batem em becos sem saída, mesmo com credenciais válidas.
Aplique MFA Just-in-Time (JIT) na Camada de Rede
Aplicar MFA em portas e contas privilegiadas dificulta significativamente explorações. Com MFA na camada de rede, portas como RDP permanecem fechadas por padrão e só abrem após verificação.
Gerencie Tráfego de Saída para Protocolos Sensíveis
Atacantes dependem cada vez mais de comunicação externa para ataques avançados. Bloquear tráfego de saída de RDP e RPC via microsegmentação moderna reduz riscos de zero-days e ataques em cadeia.
Proteja Controladores de Domínio e Operações RPC
RPCFW funciona na camada de aplicação, inspecionando contexto e permitindo controle preciso, mitigando ~95% da superfície de ataque do controlador de domínio.
Audite e Bloqueie Atividade LDAP Maliciosa
LDAP costuma ficar totalmente aberto internamente. Com um firewall LDAP, equipes podem inspecionar operações e bloquear solicitações maliciosas sem interromper o AD.
Passos incluem:
- filtrar atividade local,
- identificar atividade maliciosa remota,
- capturar atividade normal,
- consolidar tudo em um único arquivo de configuração.
Adapte a Postura de Segurança Dinamicamente
Redes mudam o tempo todo. Políticas estáticas criam brechas inevitáveis. Automação garante que controles de segmentação e identidade evoluam sem causar impacto operacional.
Como a Zero Networks Fecha Brechas Antes Aceitas Como Inevitáveis
Com Zero Networks, é finalmente possível eliminar lacunas de segurança que antes pareciam impossíveis de resolver. Microsegmentação automatizada e baseada em identidade isola e neutraliza ameaças em tempo real, sem complexidade operacional. MFA just-in-time garante que portas e protocolos privilegiados só abram após verificação.
Saiba mais sobre como a Zero Networks pode ajudar você a eliminar vulnerabilidades ocultas sem adicionar esforço manual ou complexidade operacional, solicite uma demonstração em cybergate.solutions.