Zero
In un annuncio di pubblico servizio pubblicato oggi dal Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3), l’FBI avviso aziende circa i pericoli di lasciare RDP endpoint esposti online.
RDP sta per Remote Desktop Protocol, una tecnologia sviluppata da Microsoft negli anni ‘ 90, che consente a un utente di accedere a un computer remoto e di interagire con il suo sistema operativo tramite un interfaccia grafica che include input da mouse e tastiera –da qui il nome di “remote desktop”.
RDP accesso raramente viene attivata sul computer di casa, ma spesso è attivata per postazioni di lavoro in reti aziendali o per i computer che si trovano in località remote, dove gli amministratori di sistema hanno bisogno di accedere a, ma non può andare di persona.
Anche: i Ricercatori a trovare una vulnerabilità in Apple MDM processo di DEP
A suo avviso, l’FBI si ricorda che il numero di computer con una connessione RDP sinistra accessibile su Internet è salito dal metà e la fine del 2016.
Questa affermazione da parte dell’FBI correla con i numeri e le tendenze segnalate dai cyber-società di sicurezza negli ultimi anni. Per esempio, una grande azienda, Rapid7, ha riferito di aver visto nove milioni di dispositivi con porta 3389 (RDP) attivata su Internet all’inizio del 2016, e che il numero è salito a oltre 11 milioni per la metà-fine del 2017.
Gli hacker, troppo, lettura della cyber security report. Primi avvertimenti da parte del settore privato di circa il crescente numero di RDP endpoint catturato hacker’ attenzione molto prima che gli amministratori di sistema.
Negli ultimi anni, c’è stato un flusso costante di rapporti sugli incidenti in cui gli investigatori hanno scoperto che gli hacker ottenuto un primo punto di appoggio delle vittime reti grazie via un computer con un esposto connessione RDP.
Nulla è stato più il caso che in attacchi ransomware. Negli ultimi tre anni, ci sono stati decine di ransomware famiglie che sono stati specificamente progettati per essere distribuito all’interno di una rete dopo attaccanti guadagnato un primo punto di appoggio, che in molti casi ha finito per essere un server RDP.
Ransomware è appositamente progettato per essere distribuito tramite RDP comprende ceppi come CryptON, LockCrypt, Scarabey, Horsuke, SynAck, Bit Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), di basso livello, DMA, Armadietto, Apocalisse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, e il Mondo.
Qui è solo un utente raccontando un evento su Reddit, dove gli hacker si è rotto in via RDP e lanciato ransomware che crittografato innumerevoli dei suoi sistemi.
CNET: IoT attacchi sono sempre peggio
Ci sono tre modi in cui gli hacker di solito tendono ad avere in. Il modo più semplice è quando gli amministratori di sistema attivare il protocollo RDP access su un server e non impostare una password. Chiunque abbia accesso al computer indirizzo IP sulla porta 3389 verrà visualizzata una schermata di login dove si può accedere premendo Invio.
Il secondo modo è derivato dal primo, ma ha bisogno di attaccanti o indovinare le credenziali di accesso (tramite un attacco a forza bruta) o utilizzando precompilato elenchi dei comuni username-password combo (tramite attacchi a dizionario).
Il terzo metodo si basa anche sui mass-ricerca effettuata su internet, ma invece di indovinare le credenziali, gli aggressori consegnare il codice exploit per le vulnerabilità note del protocollo RDP. Se la porta è esposto, quindi gli hacker possono sfruttare.
Secondo Rapid7, tra il 2002 e il ritardo inizio del 2017, ci sono stati 20 aggiornamenti di sicurezza Microsoft specificamente relative al PSR, gli aggiornamenti che fissa 24 maggiori vulnerabilità. Patch per RDP è continuato anche dopo Rapid7 smesso di contare, con l’ultima di queste correzioni di essere distribuito, a Marzo, per un difetto nel CredSSP, una delle più piccole protocolli parte del PSR pacchetto.
TechRepublic: Come accedere a Microsoft Remote Desktop sul Mac
In un’intervista a ZDNet circa l’FBI avviso, Mark Dufresne, VP, Minaccia di Ricerca e di Prevenzione, sicurezza informatica, Finale di partita, ha condiviso alcuni dei suoi rapporti con il PSR minaccia.
“Del PSR è stato cotto in Windows per un tempo molto lungo ed è stato abusato da aggressori, da quando è diventato ampiamente distribuita,” Dufresne detto a ZDNet.
“Siamo in grado di guardare a fonti come greynoise.io per vedere che gli hacker sono costantemente alla ricerca per aprire le connessioni RDP”, ha aggiunto. “Quasi un migliaio di ip unici stavi cercando RDP servizi in ascolto sulla porta predefinita, ogni giorno, durante la scorsa settimana.”
Una volta che gli aggressori si, è un gioco equo, a meno che non si sta attenti e prodotti per la sicurezza di esporre la loro presenza.
Ma non tutti i PSR compromessi causare infezioni ransomware, furto di dati, o il comportamento dannoso. Alcune delle persone che stanno dietro questi RDP scansioni non sempre sfruttare i sistemi piratati, almeno non direttamente e magazzino hacked RDP endpoint per vendere online.
Dalla metà del 2016, proprio quando per la sicurezza informatica delle imprese sono stati notando un aumento RDP server, un gruppo di hacker impostare xDedic, un portale web dove questi criminali potrebbero vendere o comprare questi violato e che cercavano RDP sistemi.
Inizialmente, è stato detto che xDedic fornito truffatori accesso a oltre 70.000 hacked RDP endpoint, ma un anno dopo, nonostante l’attenzione dei media e cerca di tenere giù il sito, xDedic del server RDP piscina era andato fino a 85.000.
Ma xDedic era solo l’inizio. Altre copycat “del PSR negozi”, come è diventato noto come– spuntato ovunque. Questo giornalista ha tracciato alcuni di questi servizi per il passato pochi anni su Twitter [1, 2, 3, 4, 5, 6].
L’ultima di queste è stato scoperto solo questa estate, nel mese di luglio. McAfee security, i ricercatori hanno trovato che spaccio accesso RDP workstation su alcuni piuttosto luoghi sensibili come aeroporti, governo, ospedali e case di cura.
Ma questi negozi non sarebbe un problema se non si è smesso di esporre RDP endpoint del tutto. Attraverso il suo avviso, l’FBI è ora invitando le aziende a proteggere questi sistemi prima che sia troppo tardi per ottenere hacked.
Insieme con il Dipartimento di Homeland Security, le due agenzie hanno pubblicato oggi i seguenti pareri con riferimento al miglioramento della protezione RDP.
Controllare la rete per i sistemi che utilizzano il protocollo RDP per la comunicazione remota. Disattivare il servizio se non necessari o installare le patch disponibili. Gli utenti possono avere bisogno di lavorare con i loro fornitori di tecnologia per confermare che la patch non influenzano i processi di sistema. Verificare che tutti i cloud-based virtual machine istanze con un IP pubblico non avete aperto RDP porte, in particolare la porta 3389, a meno che non ci sia un valido motivo per farlo. Luogo in qualsiasi sistema con un apri porta RDP dietro un firewall e richiedere agli utenti di utilizzare una Rete Privata Virtuale (VPN) per l’accesso attraverso il firewall. Attivare forte di conto e password di blocco delle politiche di difesa contro la forza bruta attacchi. Applicare l’autenticazione a due fattori, dove possibile. Applicare aggiornamenti di sistema e software regolarmente. Mantenere una buona strategia di backup. Attivare la registrazione e garantire meccanismi di registrazione per catturare RDP account di accesso. Tenere i registri per un minimo di 90 giorni e rivedere regolarmente per rilevare i tentativi di intrusione. Durante la creazione di cloud-based virtual machine, aderire al cloud provider di migliori pratiche per l’accesso remoto. Assicuratevi che le terze parti che richiedono l’accesso RDP sono tenuti a seguire le politiche interne di accesso remoto. Minimizzare l’esposizione della rete per tutti i dispositivi del sistema di controllo. Dove possibile, i dispositivi critici non dovrebbero avere RDP abilitato. Regolare e limite esterno all’interno delle connessioni RDP. Quando le condizioni esterne di accesso alle risorse interne è necessario, utilizzare metodi sicuri, come le Vpn, riconoscendo le Vpn sono sicuro solo se i dispositivi collegati.
Relative la copertura di sicurezza:
Come evitare problemi con il desktop remoto di autenticazione dopo i recenti aggiornamenti di Windows server TechRepublicNuovo di Linux, Mutageno di Astronomia’ falla di sicurezza impatti Red Hat e CentOS distroCI ISP RCN negozi cliente password in chiarobug di Firefox si blocca il browser e a volte il PCMigliaia di siti WordPress backdoored con codice dannoso
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0