Hvad er et RDP-angreb, og hvordan kan du beskytte dig mod det?
At sige, at COVID-19-krisen fangede os ude af vagt, ville være underdrivelse i årtiet. Ingen forventede, at udbruddet ville være så stort, og da vi indså, hvor alvorligt problemet var, resonerede en bølge af terror i hele lande og kontinenter. Ægte panik i og måske ikke overraskende cyberkriminelle forsøgte (og i mange tilfælde lykkedes det) at drage fordel af dette.
I mellemtiden betød de sociale distanceringsregler, der blev indført i mange lande, at tusinder af virksomheder sendte deres ansatte til at arbejde hjemmefra. Du vil sandsynligvis ikke være for overrasket over at finde ud af, at cyberkriminelle også har forsøgt at udnytte det.
Table of Contents
Cyberkriminelle angriber RDP, mens verden sidder fast derhjemme
I sidste uge præsenterede forskere fra Kaspersky en række diagrammer, der illustrerer endnu en ændring medført af COVID-19-pandemien.
Det handler om RDP-angreb, og hvor meget mere udbredte de har været siden starten af lukningen. Tallene adskiller sig fra land til land, men tendensen er lige så klar som dagslys - angreb mod RDP-protokollen er blevet meget mere populære, lige siden coronavirus-pandemien begyndte.
Denne nye konstatering vil ikke være for meget af et chok for dem af jer, der ved, hvad RDP er. De, der ikke kan, kan nu finde ud af det.
Hvad er RDP, og hvorfor elsker cyberkriminelle det så meget?
RDP er en forkortelse for Remote Desktop Protocol. Det er en applikationskommunikationsprotokol, der lader en bruger oprette forbindelse til en ekstern Windows-computer eller -server og bruge operativsystemets grafiske interface. Det blev udviklet af Microsoft, og som standard bruger det port 3389. Som du måske har gætt, sker der en RDP-forbindelse til et fjernendepunkt, når du har indtastet et sæt gyldige loginoplysninger.
RDP har eksisteret i et stykke tid, og angreb mod det er næsten lige så gamle som det er. I årenes løb har sikkerhedsforskere identificeret en række sårbarheder, og der har været masser af hackingværktøjer, der udnytter svaghederne. Den mest almindelige måde at kompromittere RDP er imidlertid med et ydmygt brute-force-angreb.
Brugernes uhyggelige adgangskodeadministrationsvaner reflekterer også RDP's sikkerhed. Bevæbnet med lister over enkle og forudsigelige loginoplysninger, kan hackere let kompromittere et stort antal computere og servere, der har RDP, der kører. Angrebet kan være enkelt, men fordi det giver cyberkriminelle mere eller mindre uhindret adgang til det kompromitterede endepunkt, er skaden, der kan være forårsaget af det, enorm. På grund af dette er der mørke webmarkeder dedikeret til handel kompromitterede RDP-legitimationsoplysninger.
Angrebet på RDP-aktiverede slutpunkter er blevet mere populære under COVID-19-pandemien af nogle få åbenlyse grunde. Selvom medarbejdere blev sendt til arbejde hjemmefra, var de stadig nødt til at have adgang til virksomhedsressourcer over netværket, og mange organisationer besluttede at etablere det gennem Remote Desktop Protocol. Som du kan se fra Kasperskys diagrammer, håber cyberkriminelle, at RDP-konfigurationen ikke er særlig sikker i nogle af tilfældene, og desværre kan de godt have ret.
Som vi allerede har nævnt, har systemadministratorer historisk begået fejl venstre, højre og center, når det kommer til RDP-konfiguration, og denne gang blev de tvunget til at etablere et arbejdsmiljø for mange brugere i en fart, hvilket yderligere øger sandsynligheden af fejl.
Hvordan beskytter du dig mod et RDP-angreb?
For det meste er angreb på RDP enkle brute-force forsøg, og som du sandsynligvis ved, er den enkleste måde at beskytte dig selv mod ethvert brute-force-angreb med en stærk adgangskode, der ikke genanvendes andre steder. RDP repræsenterer dog en større angrebsflade, hvilket er grunden til, at systemadministratorer kunne gøre det værre end overveje en eller to andre ting også.
Sørg for, at enhver, der bruger protokollen, har opdateret deres software, og hvis du har en virksomheds VPN, skal du kun aktivere RDP gennem den. Brug tofaktorautentisering, hvor det er muligt, og prøv ikke at bruge protokollens standardkonfiguration. Dette stopper muligvis ikke nødvendigvis hackerne, men det kan bremse dem, og ofte er dette alt, hvad der er nødvendigt. Sidst men ikke mindst, hvis du ikke har brug for RDP, skal du bare deaktivere det og lukke port 3389.
