Was ist ein RDP-Angriff und wie können Sie sich davor schützen?
Zu sagen, dass die COVID-19-Krise uns überrascht hat, wäre die Untertreibung des Jahrzehnts. Niemand hatte damit gerechnet, dass der Ausbruch so groß sein würde, und als wir merkten, wie ernst das Problem war, schwang eine Welle des Terrors in allen Ländern und Kontinenten mit. Echte Panik setzte ein, und es war vielleicht nicht überraschend, dass Cyberkriminelle versuchten (und es in vielen Fällen schafften), dies auszunutzen.
In der Zwischenzeit führten die in vielen Ländern auferlegten Vorschriften zur sozialen Distanzierung dazu, dass Tausende von Unternehmen ihre Mitarbeiter von zu Hause aus zur Arbeit schickten. Sie werden wahrscheinlich nicht allzu überrascht sein, wenn Sie herausfinden, dass die Cyberkriminellen auch versucht haben, dies auszunutzen.
Table of Contents
Cyberkriminelle greifen RDP an, während die Welt zu Hause festsitzt
Letzte Woche präsentierten Forscher von Kaspersky eine Reihe von Diagrammen, die eine weitere Änderung der COVID-19-Pandemie veranschaulichen.
Es geht um RDP-Angriffe und wie weit verbreitet sie seit Beginn der Sperrung waren. Die Zahlen sind von Land zu Land unterschiedlich, aber der Trend ist so deutlich wie bei Tageslicht - Angriffe gegen das RDP-Protokoll sind seit Beginn der Coronavirus-Pandemie viel beliebter geworden.
Diese neue Erkenntnis wird für diejenigen unter Ihnen, die wissen, was RDP ist, kein allzu großer Schock sein. Diejenigen, die es nicht tun, können es jetzt herausfinden.
Was ist RDP und warum lieben Cyberkriminelle es so sehr?
RDP ist die Abkürzung für Remote Desktop Protocol. Es handelt sich um ein Anwendungskommunikationsprotokoll, mit dem ein Benutzer eine Verbindung zu einem Remote-Windows-Computer oder -Server herstellen und die grafische Oberfläche des Betriebssystems verwenden kann. Es wurde von Microsoft entwickelt und verwendet standardmäßig Port 3389. Wie Sie vielleicht vermutet haben, erfolgt eine RDP-Verbindung zu einem Remote-Endpunkt, nachdem Sie eine Reihe gültiger Anmeldeinformationen eingegeben haben.
RDP gibt es schon eine Weile und Angriffe darauf sind fast so alt wie es ist. Im Laufe der Jahre haben Sicherheitsforscher eine Reihe von Sicherheitslücken identifiziert, und es gab zahlreiche Hacking-Tools, die die Schwachstellen ausnutzen. Die häufigste Art, RDP zu kompromittieren, ist jedoch ein bescheidener Brute-Force-Angriff.
Die traurigen Gewohnheiten der Benutzer bei der Kennwortverwaltung spiegeln auch die Sicherheit von RDP wider. Mit Listen einfacher und vorhersehbarer Anmeldeinformationen können Hacker leicht eine große Anzahl von Computern und Servern gefährden, auf denen RDP ausgeführt wird. Der Angriff mag einfach sein, aber da Cyberkriminelle mehr oder weniger ungehinderten Zugang zum gefährdeten Endpunkt erhalten, ist der Schaden, der dadurch verursacht werden könnte, enorm. Aus diesem Grund gibt es dunkle Web-Marktplätze für den Handel mit gefährdeten RDP-Anmeldeinformationen.
Die Angriffe auf RDP-fähige Endpunkte sind während der COVID-19-Pandemie aus einigen offensichtlichen Gründen populärer geworden. Obwohl Mitarbeiter von zu Hause aus zur Arbeit geschickt wurden, mussten sie weiterhin über das Netzwerk auf Unternehmensressourcen zugreifen können, und viele Unternehmen beschlossen, diese über das Remotedesktopprotokoll einzurichten. Wie Sie den Kaspersky-Diagrammen entnehmen können, hoffen die Cyberkriminellen, dass die RDP-Konfiguration in einigen Fällen nicht besonders sicher ist, und leider können sie durchaus richtig sein.
Wie bereits erwähnt, haben Systemadministratoren in der Vergangenheit Fehler in Bezug auf die RDP-Konfiguration gemacht, und diesmal mussten sie in Eile eine Arbeitsumgebung für viele Benutzer einrichten, was die Wahrscheinlichkeit weiter erhöht von Fehlern.
Wie schützen Sie sich vor einem RDP-Angriff?
Angriffe auf RDP sind größtenteils einfache Brute-Force-Versuche, und wie Sie wahrscheinlich wissen, ist der einfachste Weg, sich vor Brute-Force-Angriffen zu schützen, ein sicheres Kennwort, das nirgendwo anders wiederverwendet wird. RDP stellt jedoch eine größere Angriffsfläche dar, weshalb Systemadministratoren schlechter abschneiden könnten, als auch ein oder zwei andere Dinge zu berücksichtigen.
Stellen Sie sicher, dass jeder, der das Protokoll verwendet, seine Software aktualisiert hat. Wenn Sie über ein Unternehmens-VPN verfügen, aktivieren Sie RDP nur über dieses VPN. Verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung und versuchen Sie, die Standardkonfiguration des Protokolls nicht zu verwenden. Dies könnte die Hacker nicht unbedingt aufhalten, aber es könnte sie verlangsamen, und oft ist dies alles, was benötigt wird. Wenn Sie kein RDP benötigen, deaktivieren Sie es einfach und schließen Sie Port 3389.
