Nul
In een publieke aankondiging dat vandaag is gepubliceerd door het AMERIKAANSE Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3), de FBI waarschuwt bedrijven over de gevaren van het achterlaten van RDP eindpunten blootgesteld online.
RDP staat voor het Remote Desktop Protocol, een gepatenteerde technologie die ontwikkeld is door Microsoft in de jaren ‘ 90 dat kan een gebruiker zich aanmelden bij een externe computer en de interactie met de OS via een visuele interface inclusief muis en toetsenbord input –vandaar de naam “remote desktop.”
RDP toegang is zelden ingeschakeld op computers thuis, maar het is vaak ingeschakeld voor werkstations in bedrijfsnetwerken of voor computers die zich in afgelegen locaties, waar systeembeheerders moeten de toegang tot, maar niet kan krijgen om in persoon.
Ook: Onderzoekers vinden kwetsbaarheid in Apple ‘ s MDM DEP proces
In de waarschuwing, de FBI meldt dat het aantal computers met een RDP-verbinding links toegankelijk op het Internet omhoog is gegaan sinds medio en eind 2016.
Deze bewering van de FBI correleert met getallen en trends gerapporteerd door cyber-security bedrijven in de afgelopen jaren. Bijvoorbeeld, slechts één bedrijf, Rapid7, gemeld het zien van negen miljoen apparaten met poort 3389 (RDP) is ingeschakeld op het Internet in het begin van 2016, en dat aantal gestegen tot meer dan 11 miljoen door het midden-tot-eind 2017.
Hackers te lezen cyber-security-rapporten. Vroege waarschuwingen van de privé-sector over het toenemende aantal RDP-eindpunten gevangen hackers’ aandacht lang voor systeembeheerders.
De afgelopen jaren is er een constante stroom van meldingen incidenten waarin de onderzoekers vinden dat hackers kreeg een eerste voet aan de grond op de slachtoffers netwerken dankzij via een computer met een open RDP-verbinding.
Nergens is dit meer het geval dan in ransomware aanvallen. De afgelopen drie jaar zijn er tientallen van ransomware gezinnen die speciaal werden ontworpen om ingezet te worden binnen een netwerk na misbruikers een eerste voet aan de grond, die in veel gevallen uiteindelijk wordt een RDP-server.
Ransomware speciaal ontworpen om ingezet te worden via RDP bevat stammen, zoals de CryptON, LockCrypt, Scarabey, Horsuke, SynAck, Beetje Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, de Apocalyps, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, en de hele Wereld.
Hier is slechts één gebruiker over een gebeurtenis op Reddit waar hackers braken in via RDP en gelanceerd ransomware die gecodeerd talloze van zijn systemen.
CNET: IoT aanvallen worden erger
Er zijn drie manieren waarop hackers meestal de neiging om te krijgen. De eenvoudigste manier is als sysadmins inschakelen van RDP toegang op een server en niet op een wachtwoord instellen. Iedereen met toegang tot die computer (IP-adres op poort 3389 worden gevraagd door een login scherm waar ze in kunnen loggen in door op Enter te drukken.
De tweede manier is afgeleid van de eerste, maar vereist op aanvallers van beide raden inloggegevens (via een brute-force attack) of met behulp van vooraf samengestelde lijsten van gebruikersnaam-wachtwoord combo ‘ s (via dictionary-aanvallen).
De derde methode is ook afhankelijk van de massa-het scannen van het internet, maar in plaats van de raden van referenties, aanvallers leveren exploit code voor bekende kwetsbaarheden in het RDP-protocol. Als de poort wordt blootgesteld, dan kunnen hackers uitbuiten.
Volgens Rapid7, tussen 2002 en eind begin 2017, er zijn 20 Microsoft security updates die specifiek in verband met RDP, updates die vaste 24 belangrijke kwetsbaarheden. Patches voor de RDP-bleef ook na Rapid7 gestopt met tellen, de laatste van deze oplossingen worden geïmplementeerd in Maart van dit jaar voor een fout in de Credential, één van de kleinere protocollen deel van de RDP-pakket.
TechRepublic: Hoe om toegang te krijgen tot Microsoft Remote Desktop op je Mac
In een interview met ZDNet over de FBI waarschuwing, Mark Dufresne, VP, Bedreiging Onderzoek en Preventie op het cyber-security Eindspel, deelden een aantal van zijn omgang met de RDP-bedreiging.
“RDP is gebakken in Windows voor een zeer lange tijd en is misbruikt door aanvallers, omdat het werd op grote schaal ingezet,” Dufresne vertelde ZDNet.
“We kunnen kijken naar bronnen, zoals greynoise.io om te zien dat aanvallers zijn voortdurend op zoek naar open RDP-verbindingen,” voegde hij eraan toe. “Bijna duizend unieke IPs op zoek waren naar RDP services luisteren op de standaard poort elke dag van de afgelopen week.”
Zodra de aanvallers krijgen in, het is allemaal eerlijk spel, tenzij ze niet voorzichtig zijn en security producten bloot hun aanwezigheid.
Maar niet alle RDP compromissen leiden tot ransomware infecties, diefstal van gegevens, of kwaadaardig gedrag. Sommige van de mensen achter deze RDP-scans niet altijd benutten van de gehackte systemen –tenminste, niet direct– en voorraad gehackt RDP eindpunten online te gaan verkopen.
Sinds medio 2016, net toen cyber-security bedrijven waren het noteren van een stijging in het RDP-servers, een groep hackers instellen xDedic, een web-portaal waar zij en andere criminelen zou kunnen kopen of verkopen van deze gehackt en verzamelden RDP-systemen.
In eerste instantie werd gezegd dat xDedic verstrekt oplichters toegang tot meer dan 70.000 gehackt RDP-eindpunten, maar een jaar later, ondanks de media-aandacht en probeert te nemen van de site, xDedic de RDP-server zwembad was gegaan tot 85.000.
Maar xDedic was slechts het begin. Andere copycat “RDP-winkels” – zoals ze werd bekend als– dook overal op. Deze verslaggever is het bijhouden van een aantal van deze diensten voor de afgelopen paar jaar op Twitter [1, 2, 3, 4, 5, 6].
De meest recente daarvan was ontdekte net deze zomer, in juli. McAfee security onderzoekers vonden het venten met toegang tot RDP werkstations op een aantal mooie gevoelige plaatsen zoals luchthavens, de overheid, ziekenhuizen en verpleeghuizen.
Maar deze winkels zou geen probleem zijn, tenzij men gestopt met het blootstellen van RDP eindpunten helemaal. Door de waarschuwing van de FBI is nu spoort bedrijven aan de bescherming van deze systemen voor het te laat is en ze krijgen gehackt.
Samen met het Ministerie van Homeland Security, de twee bureaus hebben vandaag gepubliceerd is in de volgende advies met betrekking tot het verbeteren van de RDP-beveiliging.
Controle van uw netwerk voor systemen met RDP voor communicatie op afstand. Het uitschakelen van de service als onnodige of te installeren beschikbare patches. Gebruikers kan nodig zijn om te werken met hun technologie leveranciers om te bevestigen dat de patches niet van invloed op het systeem verwerkt. Controleer of alle cloud-gebaseerde virtuele machine exemplaren met een publiek IP-adres niet open RDP-poorten, specifiek poort 3389, tenzij er sprake is van een geldige zakelijke reden om dit te doen. Plaats een systeem met een open RDP-poort achter een firewall en vereisen het gebruik van een VPN (Virtual Private Network) om toegang te krijgen via de firewall. Het inschakelen van een sterk wachtwoord-en accountvergrendeling beleid te verdedigen tegen brute-force aanvallen. Breng twee-factor authenticatie, waar mogelijk. Toepassen van systeem en software-updates regelmatig. Het handhaven van een goede back-up strategie. Logging inschakelen en ervoor te loggen mechanismen vastleggen RDP inloggen. Houden zich aanmeldt voor een minimum van 90 dagen en bekijken ze regelmatig te inbraakpogingen detecteren. Bij het maken van cloud-gebaseerde virtuele machines, zich te houden aan de cloud provider de beste praktijken voor toegang op afstand. Zorgen voor derde partijen die nodig RDP toegang zijn vereist voor het volgen van het interne beleid op externe toegang. Het minimaliseren van het netwerk voor alle controle-systeem apparaten. Waar mogelijk, kritische apparaten moeten met het niet hebben van RDP ingeschakeld. Het regelen en beperken van externe naar interne RDP-verbindingen. Wanneer externe toegang tot interne resources is vereist, gebruik dan de veilige methodes, zoals Vpn ‘s, het herkennen van Vpn’ s zijn zo veilig als de aangesloten apparaten.
Verwante zekerheid:
Hoe om te voorkomen dat problemen met extern bureaublad met verificatie na de recente updates voor Windows servers TechRepublicNieuwe Linux ‘Mutageen Astronomie’ lek effecten Red Hat, CentOS distro ‘ sONS ISP RCN winkels klanten wachtwoorden in leesbare vormFirefox bug crasht uw browser en soms uw PCDuizenden WordPress sites backdoored met kwaadaardige code
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0