Hola a todos.

Primero hacerles saber que soy nuevo en esto de la ciberseguridad y que ignoro muchas cosas, así que disculpen.

Yendo rapido al punto. Les comento que tengo acceso a un par de RDPs (ip publica) con sistema operativo Windows 10 y la otra con Windows Server 2012, la dos con credenciales de "invitado"; o sea que no necesitan contraseña y cualquier persona en cualquier parte del mundo puede acceder a ellas. El punto es que, hace unas semanas vi que alguien se conectaba a las RDP's sacándome persistentemente de la sesión (porque como dije, cualquiera puede acceder a ellas) y yo al percatarme de eso, decidí descargar un programa llamado ClearLock para poner una especie de seguridad y que el intruso solo pueda conectarse, más no tenga acceso a tocar nada. Pero la sorpresa me la llevé cuando de la nada vi que la sesión de windows se cerró, volví a entrar a la RDP y el intruso seguía conectandose, incluso hubo un punto donde se cerraba la sesión, volvía a conectarme y la sesión se cerraba al instante, y ahi fue cuando me di cuenta que ya esto se trataba de un juego y que el intruso podía hacer lo que quiera en la RDP, ya que también me di cuenta que en el escritorio habían archivos que de la nada aparecian, yo los borraba y el tipo los volvía a subir (en mi cara).

Escanee las dos RDP's para ver que ip's estaban conectadas a ellas y hubo la coincidencia de que en las dos, una ip de Rusia estaba conectada a las RDP's mediante el puerto 445, y obviamente ahi me di cuenta de que esa era la ip del intruso, el cual creo yo, seguro tiene acceso a alguna shell remota para poder ejecutar por ejemplo, el codigo de "logoff" el cual es la que usa para cerrar la sesión. Así que con esto está descartado de que se trate de algún tipo de troyano porque además la maquina tiene un buen antivirus y me aseguré de ver en regedit que no haya ningun archivo extraño que se ejecute al iniciar la sesión.

He visto tutoriales de como acceder a una RDP con metasploit, he seguido todos los pasos, he abierto los puertos, etc, etc. Usé el EternalBlue y BlueKeep pero no he podido acceder ya que todas me dicen que el objetivo no es vulnerable y al final solo obtengo la respuesta de "exploit completed but no session was created". Y bueno, fue ahi cuando me estanqué de ver cual era el método que usaba el intruso para acceder a las RDP's mediante shell remota ya que no encontré más información que pueda seguir, porque además los tutoriales solo son sobre sistemas operativos antiguos como windows 7 o windows server 2008.

Y bueno recurro a este foro para ver si es que alguien tiene la respuesta a mi duda. Gracias de antemano

Les dejo el scan que le hice con nmap a una de las RDP:

Ah! perdón si no fui claro con mi pregunta.

Mi duda es: ¿qué método habrá usado el intruso para tener una especie de shell remota de la RDP y ejecutar el comando "logoff" para cerrar la sesión, ya que no he tenido éxito con el BleeKeep ni el EternalBlue, quizá existe algún nuevo metodo que desconozco.

Sí, entiendo, pero ese mensaje sale si es que se conecta otro usuario con otra credencial (por ejemplo el usuario "Admin", y en este caso la credencial para entrar a esta RDP  es id: Guest sin contraseña, y la RDP no permite otra conexión remota con el mismo usuario, así que como en este caso solo es con ese usuario "Guest" solo se puede desconectar mi sesion de RDP si es que el intruso se conecta, más no se cierra la sesión de Windows.

El problema es que cuando yo bloqueo el acceso con el programa ClearLock para que el intruso no pueda tocar nada, él utiliza el comando logoff sin estar conectado a la RDP, porque yo soy el que en ese momento está conectado al puerto 3389, por eso mencioné que puede que esté ejecutando remotamente el  comando "logoff" desde el puerto al que él está conectado (445)

PD: Además, precisar que cuando sale el mensaje del screenshot que pusiste, Una vez que marcas el "SI" el usuario conectado tiene 30 segundos para responder a esa solicitud de permitir el acceso a otra persona. Y en mi caso se cierra la sesión sin mensaje previo, como si yo mismo hubiese puesto el comando "logoff".