Hva er et RDP-angrep, og hvordan kan du beskytte deg mot det?
Å si at COVID-19-krisen fanget oss av vakt ville være underdrivelse av tiåret. Ingen ventet at utbruddet skulle bli så stort, og da vi skjønte hvor alvorlig problemet var, gjenklang det en bølge av terror i land og kontinenter. Ekte panikk satt i, og kanskje ikke overraskende, nettkriminelle prøvde (og i mange tilfeller greide) å dra nytte av dette.
I mellomtiden betydde de sosiale distanseforskriftene som ble pålagt i mange land at tusenvis av selskaper sendte sine ansatte til å jobbe hjemmefra. Du vil sannsynligvis ikke være for overrasket over å finne ut at nettkriminelle har prøvd å utnytte det også.
Table of Contents
Cyberkriminelle angriper RDP mens verden sitter fast hjemme
Forrige uke presenterte forskere fra Kaspersky en serie diagrammer som illustrerer nok en endring brakt av COVID-19-pandemien.
Det handler om RDP-angrep og hvor mye mer utbredte de har vært siden begynnelsen av lockdown. Tallene skiller seg fra land til land, men trenden er like klar som dagslys - angrep mot RDP-protokollen har blitt mye mer populært siden coronavirus-pandemien begynte.
Dette nye funnet vil ikke være for mye av et sjokk for de av dere som vet hva RDP er. De som ikke kan det nå.
Hva er RDP, og hvorfor elsker nettkriminelle det så mye?
RDP er en forkortelse for Remote Desktop Protocol. Det er en applikasjonskommunikasjonsprotokoll som lar en bruker koble seg til en ekstern Windows-datamaskin eller -server og bruke operativsystemets grafiske grensesnitt. Den ble utviklet av Microsoft, og som standard bruker den port 3389. Som du kanskje har gjettet, skjer en RDP-forbindelse til et eksternt sluttpunkt etter at du har angitt et sett med gyldige innloggingsinformasjon.
RDP har eksistert en stund, og angrep mot den er nesten like gamle som den er. Gjennom årene har sikkerhetsforskere identifisert en rekke sårbarheter, og det har vært rikelig med hackingverktøy som utnytter svakhetene. Den vanligste måten å kompromittere RDP er imidlertid med et ydmykt brute-force-angrep.
Brukernes dårlige passordhåndteringsvaner reflekterer også sikkerheten til RDP. Bevæpnet med lister med enkle og forutsigbare påloggingsinformasjon, kan hackere lett gå på akkord med et stort antall datamaskiner og servere som har RDP. Angrepet kan være enkelt, men fordi det gir cyberkriminelle mer eller mindre uhindret tilgang til det kompromitterte endepunktet, er skadene som det kan være forårsaket enorm. På grunn av dette er det mørke nettmarkeder dedikert til handel kompromitterte RDP-legitimasjoner.
Angrepene mot RDP-aktiverte sluttpunkter har blitt mer populære under COVID-19-pandemien av noen få åpenbare grunner. Selv om ansatte ble sendt til jobb hjemmefra, trengte de fortsatt å ha tilgang til bedriftens ressurser over nettverket, og mange organisasjoner bestemte seg for å etablere det gjennom Remote Desktop Protocol. Som du ser av Kasperskys diagrammer, håper nettkriminelle at RDP-konfigurasjonen ikke er spesielt sikker i noen av tilfellene, og dessverre kan det hende de stemmer.
Som vi allerede har nevnt, har systemadministratorer historisk gjort feil venstre, høyre og sentrum når det gjelder RDP-konfigurasjon, og denne gangen ble de tvunget til å etablere et arbeidsmiljø for mange brukere i en hast, noe som ytterligere øker sannsynligheten av feil.
Hvordan beskytte deg mot et RDP-angrep?
For det meste er angrep på RDP enkle forsøk på brute-force, og som du sikkert vet, er den enkleste måten å beskytte deg mot ethvert brute-force-angrep med et sterkt passord som ikke gjenbrukes andre steder. RDP representerer imidlertid en større angrepsflate, og det er grunnen til at systemadministratorer kan gjøre det verre enn å vurdere en eller to andre ting også.
Forsikre deg om at alle som bruker protokollen har oppdatert programvaren sin, og hvis du har en bedrifts VPN, må du bare aktivere RDP gjennom den. Bruk tofaktorautentisering der det er mulig, og prøv å ikke bruke protokollens standardkonfigurasjon. Dette kan ikke nødvendigvis stoppe hackerne, men det kan bremse dem, og ofte er dette alt som trengs. Sist, men ikke minst, hvis du ikke trenger RDP, bare deaktiver det og lukk port 3389.
