Vad är en RDP-attack och hur kan du skydda dig mot den?
Att säga att COVID-19-krisen fångade oss utanför vattnet skulle vara tämningen under decenniet. Ingen väntade sig på att utbrottet skulle bli så stort, och när vi insåg hur allvarligt problemet var, resonerade en terrorvåg i länder och kontinenter. Äkta panik i och kanske inte förvånande, cyberbrottslingar försökte (och i många fall lyckades) dra nytta av detta.
Samtidigt innebar de sociala distansförordningarna som infördes i många länder att tusentals företag skickade sina anställda att arbeta hemifrån. Du kommer förmodligen inte bli för förvånad över att få veta att cyberbrottslingarna har försökt att utnyttja det också.
Table of Contents
Cyberkriminella attackerar RDP medan världen sitter fast hemma
Förra veckan presenterade forskare från Kaspersky en serie diagram som illustrerar ytterligare en förändring för COVID-19-pandemin.
Det handlar om RDP-attacker och hur mycket mer utbredda de har varit sedan början av lockdown. Siffrorna skiljer sig från land till land, men trenden är lika tydlig som dagsljus - attacker mot RDP-protokollet har blivit mycket mer populära sedan coronavirus-pandemin började.
Detta nya konstaterande kommer inte att vara för mycket chock för de av er som vet vad RDP är. De som inte kan nu ta reda på det.
Vad är RDP, och varför älskar cyberbrottslingar det så mycket?
RDP är förkortning för Remote Desktop Protocol. Det är ett applikationskommunikationsprotokoll som låter en användare ansluta till en fjärr Windows-dator eller -server och använda operativsystemets grafiska gränssnitt. Den har utvecklats av Microsoft och använder som standard port 3389. Som du kanske gissat inträffar en RDP-anslutning till en fjärrändpunkt efter att du har angett en uppsättning giltiga inloggningsuppgifter.
RDP har funnits ett tag och attacker mot den är nästan lika gammal som den är. Under åren har säkerhetsforskare identifierat ett antal sårbarheter, och det har funnits många hackverktyg som utnyttjar svagheterna. Det vanligaste sättet att kompromissa med RDP är emellertid med en ödmjuk brute-attack.
Användarnas sorgfulla lösenordshanteringsvanor speglar också RDP: s säkerhet. Beväpnade med listor med enkla och förutsägbara inloggningsuppgifter, kan hackare enkelt kompromissa med ett stort antal datorer och servrar som har RDP i drift. Attacken kan vara enkel, men eftersom den ger cyberbrottslingar mer eller mindre obehindrad tillgång till det komprometterade slutpunkten, är skadan som den kan orsakas av den enorma. På grund av detta finns det mörka webbmarknader som ägnas åt handel komprometterade RDP-referenser.
Attackerna mot RDP-aktiverade slutpunkter har blivit mer populära under COVID-19-pandemin av några uppenbara skäl. Även om anställda skickades till hemmet, behövde de fortfarande ha tillgång till företagets resurser via nätverket, och många organisationer beslutade att etablera det genom Remote Desktop Protocol. Som du kan se från Kasperskys diagram hoppas cyberbrottslingarna att RDP-konfigurationen inte är särskilt säker i vissa fall, och tyvärr kan de mycket väl ha rätt.
Som vi redan nämnt har systemadministratörer historiskt gjort misstag åt vänster, höger och centrum när det gäller RDP-konfiguration, och den här gången tvingades de skapa en arbetsmiljö för många användare i en hast, vilket ytterligare ökar sannolikheten av misstag.
Hur skyddar du dig mot en RDP-attack?
För det mesta är attacker mot RDP enkla brute-force-försök, och som du antagligen vet är det enklaste sättet att skydda dig själv mot alla brute-force-attacker med ett starkt lösenord som inte återanvänds någon annanstans. RDP representerar dock en större attackyta, varför systemadministratörer kan göra det sämre än att överväga en eller två andra saker också.
Se till att alla som använder protokollet har uppdaterat sin programvara, och om du har en företags VPN ska du bara aktivera RDP genom det. Använd tvåfaktorautentisering där det är möjligt och försök att inte använda protokollets standardkonfiguration. Detta kanske inte nödvändigtvis stoppar hackarna, men det kan bromsa dem, och ofta är det allt som behövs. Sist men inte minst, om du inte behöver RDP, bara inaktivera det och stäng port 3389.
