Noll
I ett meddelande till allmänheten publiceras i dag av den AMERIKANSKA Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3), FBI varning företag om riskerna med att lämna RDP-slutpunkter för synliga online.
RDP står för Remote Desktop Protocol, en teknik som utvecklats av Microsoft på 90-talet som tillåter en användare att logga in på en fjärrdator och interagera med sin OS via ett visuellt gränssnitt som inkluderar musen och tangentbordet –därav namnet “remote desktop.”
RDP-fi är sällan aktiverad på hemdatorer, men det är ofta vände sig om för arbetsstationer i företaget nät eller datorer som ligger på avlägsna ställen där systemadministratörer behöver tillgång till, men inte kan få till i person.
Också: Forskare att hitta säkerhetsproblem i Apples MDM DEP process
I sin alert, FBI nämner att antalet datorer med en RDP-anslutning till vänster tillgänglig på Internet har gått upp sedan mitten och slutet av 2016.
Detta påstående från FBI korrelerar med siffror och trender som rapporterats av cyber-bevakningsföretag under de senaste åren. Till exempel, bara ett bolag, Rapid7, rapporteras att se nio miljoner enheter med port 3389 (RDP) är aktiverad på Internet i början av 2016, och att antalet steg till över 11 miljoner i mitten-till-slutet av 2017.
Hackare också läsa it-säkerhet rapporter. Tidiga varningar från den privata sektorn om det ökande antalet RDP-slutpunkter fångas hackare uppmärksamhet långt innan systemadministratörer.
Under de senaste åren har det skett en ständig ström av rapporter om incidenter där utredarna funnit att hackare fick ett första fotfäste på offrens nätverk tack via en dator med en utsatt RDP-anslutning.
Ingenstans har detta mer fallet än i ransomware attacker. Under de senaste tre åren har det varit tiotals ransomware familjer som var speciellt konstruerade för att användas inom ett nätverk efter anfallare fick ett första fotfäste, vilket i många fall slutade upp att vara en RDP-server.
Ransomware speciellt utformad för att användas via RDP omfattar stammar som CryptON, LockCrypt, Scarabey, Horsuke, SynAck, Lite Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Skåp, Apokalyps, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, och Världen.
Här är bara en användare som återberättar en händelse på Reddit där hackare bröt sig in via RDP och lanserade ransomware som är krypterad otaliga av hans system.
CNET: IoT-attacker blir värre
Det finns tre sätt som hackare tenderar oftast att få i. Det enklaste sättet är när systemadministratörer aktivera RDP tillgång på en server och inte ställer in ett lösenord. Alla som får åtkomst till datorns IP-adress på port 3389 kommer att bli ombedd av ett login-skärm där de kan logga in på bara genom att trycka på Enter.
Det andra sättet är som härrör från den första, men den kräver angripare antingen gissa inloggningsuppgifter (via en brute force-attack) eller med hjälp av förkompilerade listor med vanliga användarnamn-lösenord kombinationer (via dictionary attacks).
Den tredje metoden bygger också på mass-scanning internet, men i stället för att gissa referenser, anfallare leverera utnyttja koden för kända sårbarheter i RDP-protokollet. Om porten är utsatt, då hackare kan utnyttja det.
Enligt Rapid7, mellan 2002 och slutet av början av 2017, det har varit 20 säkerhetsuppdateringar från Microsoft är specifikt relaterade till att RDP, uppdateringar att fasta 24 större sårbarhet. Patchar för RDP fortsatte även efter Rapid7 slutat räkna, med den senaste av dessa rättelser som görs i Mars för ett fel i CredSSP, en av de mindre protokoll som en del av RDP-paket.
TechRepublic: Hur att få tillgång till Microsoft Remote Desktop på din Mac
I en intervju med ZDNet om FBI: s alert, Mark Dufresne, VP, Hot Forskning och Förebyggande åtgärder vid it-säkerhet Slutspelet, delade några av hans mellanhavanden med RDP hot.
“RDP har varit inbakad i Windows under en mycket lång tid och har varit utsatt för övergrepp av angripare eftersom det blev spridda,” Dufresne berättade ZDNet.
“Vi kan titta på källor som greynoise.io att se att angriparna är ständigt letar efter öppna RDP-anslutningar”, tillade han. “Nästan tusen unika IPs letade efter RDP-tjänster som lyssnar på standard hamnen varje dag under den senaste veckan.”
När angriparna få i, det är allt rättvist spel, om de inte är försiktig och säkerhetsprodukter avslöjar deras närvaro.
Men inte alla RDP kompromisser resultera i ransomware infektioner, data stöld, eller skadligt beteende. Några av människorna bakom dessa RDP skannar inte alltid utnyttja den hackade system-åtminstone inte direkt– och lager hackade RDP-slutpunkter att sälja på nätet.
Sedan mitten av 2016, bara om när cyber-bevakningsföretag var notera en ökning i RDP-servrar, en grupp av hackare ställa upp xDedic, en webbportal där de och andra brottslingar kunde sälja eller köpa dessa hackade och hamstrade RDP-system.
Initialt var det sagt att xDedic förutsatt skurkar tillgång till över 70 000 hackade RDP-slutpunkter, men ett år senare, trots uppmärksamhet i media och försök att ta ner sajten, xDedic s RDP-server pool hade gått upp till 85 000 personer.
Men xDedic var bara början. Andra copycat “RDP-affärer” – som de kom att kallas– dök upp överallt. Denna reporter har varit att följa några av dessa tjänster under de senaste åren på Twitter [1, 2, 3, 4, 5, 6].
Den senaste av dessa upptäcktes bara i sommar, i juli. McAfee security forskare fann det torgför tillgång till RDP arbetsstationer som ligger på några ganska känsliga platser som flygplatser, myndigheter, sjukhus och vårdhem.
Men dessa affärer skulle inte vara ett problem om människor slutade att utsätta RDP-slutpunkter helt och hållet. Genom sin varning, FBI är nu uppmanar företag att säkra att dessa system innan det är för sent, och de blir hackad.
Tillsammans med Department of Homeland Security, de två organen har idag offentliggjort följande råd när det gäller att förbättra RDP-säkerhet.
Revision ditt nätverk för system med hjälp av RDP för kommunikation på distans. Inaktivera tjänsten om onödiga eller installera tillgängliga patchar. Användare kan behöva för att arbeta med sina leverantörer teknik för att bekräfta att lappen kommer inte att påverka systemets processer. Kontrollera alla moln-baserad virtuell dator fall med en allmän IP inte har öppna RDP-portar, särskilt port 3389, såvida det inte är en giltig anledning att göra så. Placera ett system med en öppen RDP-port bakom en brandvägg och kräver att användarna att använda ett Virtuellt Privat Nätverk (VPN) för att komma åt det genom brandväggen. Aktivera starkt lösenord och konto lockout politik för att försvara sig mot brute-force attacker. Applicera två-faktor autentisering, där så är möjligt. Tillämpa system och mjukvara uppdateras regelbundet. Upprätthålla en bra back-up strategi. Aktivera loggning och se till att logga mekanismer fånga RDP-inloggningar. Hålla loggar för minst 90 dagar och se över dem regelbundet för att upptäcka intrångsförsök. När du skapar moln-baserade virtuella maskiner, ansluter sig till cloud provider ‘ s best practices för fjärråtkomst. Se till tredje part som kräver RDP-fi är skyldig att följa interna riktlinjer för fjärråtkomst. Minimera nätet exponering för alla styrsystem enheter. Där så är möjligt, kritiska enheter bör inte ha RDP aktiverad. Reglera och begränsa extern till intern RDP-anslutningar. När extern åtkomst till interna resurser som krävs, använda säkra metoder, såsom Vpn, erkänner Vpn är bara så säker som de anslutna enheterna.
Relaterade förmåner:
Hur att förhindra problem med remote desktop autentisering efter de senaste uppdateringarna för Windows-servrar TechRepublicNya Linux “Mutagen Astronomi” säkerhetsbrist påverkan Red Hat och CentOS distributionerOSS ISP RCN butiker kund lösenord i klartextFirefox bugg kraschar din webbläsare och ibland din DATORTusentals WordPress webbplatser backdoored med skadlig kod
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0