ФБР предупреждает, что хакеры используют протокол удаленного рабочего стола (RDP)

Оглавление:

Anonim

Способность хакеров использовать практически любую уязвимость представляет собой одну из самых больших проблем для правоохранительных органов и малого бизнеса. Федеральное бюро расследований недавно выпустило предупреждение для предприятий и других лиц о другой угрозе. Хакеры начали использовать протокол удаленного рабочего стола (RDP) для более частого выполнения вредоносных действий.

По данным ФБР, использование протокола удаленного рабочего стола в качестве вектора атаки возросло с середины до конца 2016 года. Рост числа атак RDP частично обусловлен темными рынками, продающими доступ к протоколу удаленного рабочего стола. Эти плохие актеры нашли способы выявления и использования уязвимых сеансов RDP через Интернет.

$config[code] not found

Для малых предприятий, которые используют RDP для удаленного управления своими домашними или офисными компьютерами, требуется больше бдительности, включая внедрение надежных паролей и их регулярную смену.

В своем объявлении ФБР предупреждает: «Атаки с использованием протокола RDP не требуют ввода данных пользователем, что затрудняет обнаружение вторжений».

Что такое протокол удаленного рабочего стола?

Разработанный для удаленного доступа и управления, RDP - это метод Microsoft для упрощения передачи данных приложений между клиентскими пользователями, устройствами, виртуальными рабочими столами и терминальным сервером протокола удаленного рабочего стола.

Проще говоря, RDP позволяет вам удаленно управлять своим компьютером, управлять своими ресурсами и получать доступ к данным. Эта функция важна для малых предприятий, которые не используют облачные вычисления и полагаются на свои компьютеры или серверы, установленные в своих помещениях.

Это не первый случай, когда RDP представляет проблемы безопасности. В прошлом ранние версии имели уязвимости, которые делали их уязвимыми для атаки «человек посередине», предоставляя злоумышленникам несанкционированный доступ.

В период с 2002 по 2017 год Microsoft выпустила обновления, в которых исправлено 24 основных уязвимости, связанных с протоколом удаленного рабочего стола. Новая версия более безопасна, но объявление ФБР указывает на то, что хакеры все еще используют ее как вектор для атак.

Взлом протокола удаленного рабочего стола: уязвимости

ФБР выявило несколько уязвимостей - но все начинается со слабых паролей.

Агентство заявляет, что если вы используете слова из словаря и не используете комбинацию прописных и строчных букв, цифр и специальных символов, ваш пароль уязвим для атак методом перебора и словаря.

Устаревший протокол удаленного рабочего стола, использующий протокол поставщика поддержки безопасности учетных данных (CredSSP), также представляет уязвимости. CredSSP - это приложение, которое делегирует учетные данные пользователя от клиента целевому серверу для удаленной аутентификации. Устаревшее RDP делает возможным запуск атак «человек посередине».

Другие уязвимости включают в себя предоставление неограниченного доступа к порту протокола удаленного рабочего стола по умолчанию (TCP 3389) и неограниченные попытки входа в систему.

Взлом протокола удаленного рабочего стола: угрозы

Вот некоторые примеры угроз, перечисленных ФБР:

CrySiS Ransomware: CrySIS Ransomware в первую очередь нацелен на предприятия США через открытые порты RDP, используя атаки методом перебора и словаря для получения несанкционированного удаленного доступа. CrySiS затем сбрасывает вымогателей на устройство и запускает его. Актеры угрозы требуют оплаты в биткойнах в обмен на ключ дешифрования.

CryptON Ransomware: CryptON Ransomware использует атаки методом перебора для получения доступа к сеансам RDP, а затем позволяет субъекту-угрозу вручную запускать вредоносные программы на скомпрометированной машине. Кибер-актеры обычно запрашивают биткойны в обмен на инструкции по расшифровке.

Samsam Ransomware: Samsam Ransomware использует широкий спектр эксплойтов, в том числе атакующих компьютеры с поддержкой RDP, для выполнения атак методом перебора. В июле 2018 года участники угрозы Samsam использовали атаку методом «грубой силы» на учетные данные RDP, чтобы проникнуть в медицинскую компанию. Вымогатель смог зашифровать тысячи машин до обнаружения.

Dark Web Exchange: Актеры угроз покупают и продают украденные учетные данные RDP в Dark Web. Значение учетных данных определяется местоположением скомпрометированной машины, программным обеспечением, используемым в сеансе, и любыми дополнительными атрибутами, которые повышают удобство использования украденных ресурсов.

Взлом протокола удаленного рабочего стола: как защитить себя?

Важно помнить, что каждый раз, когда вы пытаетесь получить доступ к чему-либо удаленно, существует риск. А поскольку протокол удаленного рабочего стола полностью контролирует систему, вы должны регулировать, контролировать и управлять, кто имеет доступ близко.

Применяя следующие передовые практики, ФБР и Министерство внутренней безопасности США говорят, что у вас больше шансов против атак на основе RDP.

  • Включите надежные пароли и политики блокировки учетных записей для защиты от атак методом перебора.
  • Используйте двухфакторную аутентификацию.
  • Регулярно применяйте обновления системы и программного обеспечения.
  • Иметь надежную стратегию резервного копирования с сильной системой восстановления.
  • Включите ведение журнала и обеспечьте механизмы ведения журнала для регистрации входов по протоколу удаленного рабочего стола. Храните журналы не менее 90 дней. В то же время просмотрите имена пользователей, чтобы убедиться, что их используют только те, у кого есть доступ.

Вы можете взглянуть на остальные рекомендации здесь.

Заголовки утечек данных регулярно появляются в новостях, и это происходит с крупными организациями с, казалось бы, неограниченными ресурсами. Хотя может показаться невозможным защитить ваш малый бизнес от всех киберугроз, вы можете свести к минимуму риск и ответственность, если у вас есть правильные протоколы на местах со строгим управлением для всех сторон.

Изображение: ФБР