Co to jest atak RDP i jak się przed nim chronić?
Powiedzenie, że kryzys COVID-19 zaskoczył nas, byłoby niedopowiedzeniem tej dekady. Nikt nie spodziewał się, że wybuch będzie tak duży, a kiedy zdaliśmy sobie sprawę, jak poważny jest problem, fala terroru rozbrzmiewała w różnych krajach i kontynentach. Nastąpiła prawdziwa panika i, co nie dziwi, cyberprzestępcy próbowali (iw wielu przypadkach udało się) z tego skorzystać.
Tymczasem przepisy dotyczące dystansu społecznego narzucone w wielu krajach spowodowały, że tysiące firm wysłało swoich pracowników do pracy z domu. Prawdopodobnie nie będziesz zaskoczony, gdy dowiesz się, że cyberprzestępcy również próbowali to wykorzystać.
Table of Contents
Cyberprzestępcy atakują RDP, podczas gdy świat utknął w domu
W zeszłym tygodniu naukowcy z Kaspersky Lab przedstawili serię wykresów ilustrujących kolejną zmianę wywołaną przez pandemię COVID-19.
Chodzi o ataki RDP i o ile bardziej rozpowszechnione były od początku blokady. Liczby różnią się w zależności od kraju, ale trend jest tak wyraźny jak światło dzienne - ataki na protokół RDP stały się znacznie bardziej popularne, odkąd rozpoczęła się pandemia wirusa koronawirusa.
To nowe odkrycie nie będzie zbyt wielkim szokiem dla tych z was, którzy wiedzą, czym jest PROW. Ci, którzy nie mogą teraz dowiedzieć się.
Co to jest PROW i dlaczego cyberprzestępcy tak bardzo go lubią?
RDP to skrót od Remote Desktop Protocol. Jest to protokół komunikacji aplikacji, który pozwala użytkownikowi połączyć się ze zdalnym komputerem lub serwerem Windows i użyć interfejsu graficznego systemu operacyjnego. Został opracowany przez Microsoft i domyślnie używa portu 3389. Jak można się domyślić, połączenie RDP ze zdalnym punktem końcowym ma miejsce po wprowadzeniu zestawu prawidłowych danych logowania.
Protokół RDP istnieje już od jakiegoś czasu, a ataki na niego są prawie tak stare, jak obecnie. Z biegiem lat badacze bezpieczeństwa zidentyfikowali szereg luk w zabezpieczeniach, a także wiele narzędzi hakerskich wykorzystujących te słabości. Jednak najczęstszym sposobem na utrudnienie RDP jest skromny atak brutalnej siły.
Żałosne nawyki użytkowników dotyczące zarządzania hasłami odzwierciedlają również bezpieczeństwo RDP. Uzbrojeni w listy prostych i przewidywalnych danych logowania hakerzy mogą łatwo skompromitować dużą liczbę komputerów i serwerów z uruchomionym protokołem RDP. Atak może być prosty, ale ponieważ daje cyberprzestępcom mniej lub bardziej niezakłócony dostęp do zaatakowanego punktu końcowego, szkoda, która może być przez niego spowodowana, jest ogromna. Z tego powodu istnieją ciemne rynki internetowe, które zajmują się handlem zagrożonymi danymi uwierzytelniającymi RDP.
Ataki na punkty końcowe z włączonym RDP stały się bardziej popularne podczas pandemii COVID-19 z kilku oczywistych powodów. Chociaż pracownicy zostali wysłani do pracy z domu, nadal musieli mieć dostęp do zasobów korporacyjnych za pośrednictwem sieci, a wiele organizacji zdecydowało się na ustanowienie go za pomocą protokołu pulpitu zdalnego. Jak widać na wykresach Kaspersky, cyberprzestępcy mają nadzieję, że konfiguracja RDP w niektórych przypadkach nie jest szczególnie bezpieczna i niestety mogą mieć rację.
Jak już wspomnieliśmy, historycznie administratorzy systemu popełniali błędy w lewo, w prawo i w centrum, jeśli chodzi o konfigurację RDP, i tym razem zostali zmuszeni do stworzenia środowiska pracy dla wielu użytkowników w pośpiechu, co dodatkowo zwiększa prawdopodobieństwo błędów.
Jak uchronić się przed atakiem RDP?
W większości przypadków ataki na RDP są prostymi próbami brutalnej siły, a jak zapewne wiesz, najprostszym sposobem zabezpieczenia się przed atakiem brutalnej siły jest użycie silnego hasła, które nie jest ponownie używane nigdzie indziej. Protokół RDP stanowi jednak większą powierzchnię ataku, dlatego administratorzy systemu mogliby zrobić coś gorszego niż rozważyć jedną lub dwie inne rzeczy.
Upewnij się, że każda osoba korzystająca z protokołu zaktualizowała swoje oprogramowanie, a jeśli masz korporacyjną sieć VPN, włącz RDP tylko za jej pośrednictwem. W miarę możliwości używaj uwierzytelniania dwuskładnikowego i staraj się nie używać domyślnej konfiguracji protokołu. Może to niekoniecznie powstrzymać hakerów, ale może ich spowolnić, a często to wszystko, czego potrzeba. Na koniec, jeśli nie potrzebujesz RDP, po prostu wyłącz go i zamknij port 3389.
