Способность хакеров использовать практически любую уязвимость представляет собой одну из самых больших проблем для правоохранительных органов и малого бизнеса. Федеральное бюро расследований недавно выпустило предупреждение для предприятий и других лиц о другой угрозе. Хакеры начали использовать протокол удаленного рабочего стола (RDP) для более частого выполнения вредоносных действий.
По данным ФБР, использование протокола удаленного рабочего стола в качестве вектора атаки возросло с середины до конца 2016 года. Рост числа атак RDP частично обусловлен темными рынками, продающими доступ к протоколу удаленного рабочего стола. Эти плохие актеры нашли способы выявления и использования уязвимых сеансов RDP через Интернет.
$config[code] not foundДля малых предприятий, которые используют RDP для удаленного управления своими домашними или офисными компьютерами, требуется больше бдительности, включая внедрение надежных паролей и их регулярную смену.
В своем объявлении ФБР предупреждает: «Атаки с использованием протокола RDP не требуют ввода данных пользователем, что затрудняет обнаружение вторжений».
Что такое протокол удаленного рабочего стола?
Разработанный для удаленного доступа и управления, RDP - это метод Microsoft для упрощения передачи данных приложений между клиентскими пользователями, устройствами, виртуальными рабочими столами и терминальным сервером протокола удаленного рабочего стола.
Проще говоря, RDP позволяет вам удаленно управлять своим компьютером, управлять своими ресурсами и получать доступ к данным. Эта функция важна для малых предприятий, которые не используют облачные вычисления и полагаются на свои компьютеры или серверы, установленные в своих помещениях.
Это не первый случай, когда RDP представляет проблемы безопасности. В прошлом ранние версии имели уязвимости, которые делали их уязвимыми для атаки «человек посередине», предоставляя злоумышленникам несанкционированный доступ.
В период с 2002 по 2017 год Microsoft выпустила обновления, в которых исправлено 24 основных уязвимости, связанных с протоколом удаленного рабочего стола. Новая версия более безопасна, но объявление ФБР указывает на то, что хакеры все еще используют ее как вектор для атак.
Взлом протокола удаленного рабочего стола: уязвимости
ФБР выявило несколько уязвимостей - но все начинается со слабых паролей.
Агентство заявляет, что если вы используете слова из словаря и не используете комбинацию прописных и строчных букв, цифр и специальных символов, ваш пароль уязвим для атак методом перебора и словаря.
Устаревший протокол удаленного рабочего стола, использующий протокол поставщика поддержки безопасности учетных данных (CredSSP), также представляет уязвимости. CredSSP - это приложение, которое делегирует учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. Устаревшее RDP делает возможным запуск атак «человек посередине».
Другие уязвимости включают в себя предоставление неограниченного доступа к порту протокола удаленного рабочего стола по умолчанию (TCP 3389) и неограниченные попытки входа в систему.
Взлом протокола удаленного рабочего стола: угрозы
Вот некоторые примеры угроз, перечисленных ФБР:
CrySiS Ransomware: CrySIS Ransomware в первую очередь нацелен на предприятия США через открытые порты RDP, используя атаки методом перебора и словаря для получения несанкционированного удаленного доступа. CrySiS затем сбрасывает вымогателей на устройство и запускает его. Актеры угрозы требуют оплаты в биткойнах в обмен на ключ дешифрования.
CryptON Ransomware: CryptON Ransomware использует атаки методом перебора для получения доступа к сеансам RDP, а затем позволяет субъекту-угрозу вручную запускать вредоносные программы на скомпрометированной машине. Кибер-актеры обычно запрашивают биткойны в обмен на инструкции по расшифровке.
Samsam Ransomware: Samsam Ransomware использует широкий спектр эксплойтов, в том числе атакующих компьютеры с поддержкой RDP, для выполнения атак методом перебора. В июле 2018 года участники угрозы Samsam использовали атаку методом «грубой силы» на учетные данные RDP, чтобы проникнуть в медицинскую компанию. Вымогатель смог зашифровать тысячи машин до обнаружения.
Dark Web Exchange: Актеры угроз покупают и продают украденные учетные данные RDP в Dark Web. Значение учетных данных определяется местоположением скомпрометированной машины, программным обеспечением, используемым в сеансе, и любыми дополнительными атрибутами, которые повышают удобство использования украденных ресурсов.
Взлом протокола удаленного рабочего стола: как защитить себя?
Важно помнить, что каждый раз, когда вы пытаетесь получить доступ к чему-либо удаленно, существует риск. А поскольку протокол удаленного рабочего стола полностью контролирует систему, вы должны регулировать, контролировать и управлять, кто имеет доступ близко.
Применяя следующие передовые практики, ФБР и Министерство внутренней безопасности США говорят, что у вас больше шансов против атак на основе RDP.
- Включите надежные пароли и политики блокировки учетных записей для защиты от атак методом перебора.
- Используйте двухфакторную аутентификацию.
- Регулярно применяйте обновления системы и программного обеспечения.
- Иметь надежную стратегию резервного копирования с сильной системой восстановления.
- Включите ведение журнала и обеспечьте механизмы ведения журнала для регистрации входов по протоколу удаленного рабочего стола. Храните журналы не менее 90 дней. В то же время просмотрите имена пользователей, чтобы убедиться, что их используют только те, у кого есть доступ.
Вы можете взглянуть на остальные рекомендации здесь.
Заголовки утечек данных регулярно появляются в новостях, и это происходит с крупными организациями с, казалось бы, неограниченными ресурсами. Хотя может показаться невозможным защитить ваш малый бизнес от всех киберугроз, вы можете свести к минимуму риск и ответственность, если у вас есть правильные протоколы на местах со строгим управлением для всех сторон.
Изображение: ФБР
