Nul
I en public service-meddelelse, der offentliggøres i dag af den AMERIKANSKE Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3), FBI advarer virksomheder om farerne ved at forlade RDP endpoints udsat online.
RDP står for Remote Desktop Protocol, som er en proprietær teknologi, der er udviklet af Microsoft i 90’erne, der tillader en bruger at logge ind på en fjerncomputer, og til at interagere med dets OS via en visuel grænseflade, der omfatter mus og tastatur-input –deraf navnet “remote desktop”.
RDP-adgang er sjældent aktiveret på hjem, computere, men det er ofte tændt for arbejdsstationer i virksomhedens netværk eller computere placeret i fjerntliggende steder, hvor system-administratorer skal have adgang til, men ikke kan få fat i person.
Også: Forskere finder en svaghed i Apple ‘ s MDM DEP proces
I sin indberetning, FBI nævner, at antallet af computere med en RDP-forbindelse venstre tilgængelig på Internettet er steget siden midten og slutningen af 2016.
Denne påstand fra FBI korrelerer med tal og tendenser, der indberettes af cyber-sikkerhed i virksomheder, der i de seneste par år. For eksempel, bare én virksomhed, Rapid7, rapporteret, at ni millioner enheder med port 3389 (RDP) er aktiveret på Internettet i begyndelsen af 2016, og det tal steg til over 11 millioner ved midt-til-sene 2017.
Hackere også læse cyber-sikkerhed rapporter. Tidlige advarsler fra den private sektor om det stigende antal af RDP endpoints fanget hackere’ opmærksomhed længe før systemadministratorer.
I de sidste par år, har der været en konstant strøm af indberetninger, som efterforskerne fandt, at hackere fik en indledende fodfæste på ofrenes netværk takket være via en computer med en udsat RDP-forbindelse.
Ingen steder har det været flere tilfælde, end i ransomware angreb. I løbet af de seneste tre år, har der været snesevis af ransomware familier, der specifikt er designet til at blive implementeret inde i et netværk, når angriberne fik en indledende fodfæste, som i mange tilfælde endte med at blive en RDP-server.
Ransomware der specifikt er designet til at blive implementeret via RDP omfatter stammer som CryptON, LockCrypt, Scarabey, Horsuke, SynAck, Lidt Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apokalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA, og Kloden.
Her er bare én bruger fortæller en begivenhed på Reddit, hvor hackere brød ind via RDP, og lanceret ransomware, der er krypteret utallige af hans systemer.
CNET: IoT-angreb er værre
Der er tre måder, hvorpå hackere normalt har en tendens til at komme i. Den nemmeste måde er, når systemadministratorer aktivere RDP-adgang på en server og ikke har konfigureret en adgangskode. Enhver, der har adgang til denne computer ‘ s IP-adresse på port 3389 vil blive bedt om en login-skærm, hvor de kan logge på ved blot at trykke på Enter.
Den anden måde er afledt af den første, men kræver på angribere enten gætte login-legitimationsoplysninger (via en brute-force attack) eller ved hjælp af præ-lister af fælles brugernavn-adgangskode komboer (via dictionary-angreb).
Den tredje metode er også baseret på masse-scanning internettet, men i stedet for at gætte legitimationsoplysninger, angribere levere udnytte kode for kendte sårbarheder i RDP-protokollen. Hvis porten er udsat for, så hackere kan udnytte det.
Ifølge Rapid7, mellem slutningen af 2002 og begyndelsen af 2017, der har været 20 sikkerhedsopdateringer fra Microsoft, der specifikt er relateret til RDP, opdateringer, fast 24 større sårbarheder. Patches for RDP fortsatte selv efter Rapid7 stoppede med at tælle, med den seneste af disse rettelser blev indsat i Marts, efter en fejl i CredSSP, en af de mindre protokoller del af RDP-pakke.
TechRepublic: Hvordan man kan få adgang til Microsoft Remote Desktop på din Mac
I et interview med ZDNet om FBI ‘ s alarm, Markér Dufresne, VP, Trussel, Forskning og Forebyggelse i cyber-sikkerhed Slutspil, delte nogle af hans omgang med RDP-trussel.
“RDP er blevet bagt i Windows for en meget lang tid, og har været misbrugt af hackere, da det blev udbredt,” Dufresne fortalte ZDNet.
“Vi kan se på kilder som greynoise.io at se, at hackerne er konstant på udkig efter åbne RDP-forbindelser,” tilføjede han. “Næsten tusind unikke IPs var på udkig efter RDP-tjenester, som lytter på standard port hver dag i løbet af den seneste uge.”
Når angriberne får i, det er alle fair spil, medmindre de er ikke omhyggelige og sikkerhed produkter afsløre deres tilstedeværelse.
Men ikke alle RDP kompromiser resultere i ransomware infektioner, tyveri af data eller skadelig adfærd. Nogle af de mennesker bag disse RDP-scanninger ikke altid at udnytte de hackede systemer-i hvert fald ikke direkte-og lager hacket RDP endpoints til at sælge online.
Siden midten af 2016, kun om, når cyber-sikkerhed i virksomheder, der var at bemærke en stigning i RDP-servere, en gruppe af hackere oprettet xDedic, en web-portal, hvor de og andre kriminelle kunne sælge eller købe disse hacket, og hamstret RDP-systemer.
I første omgang, blev det sagt, at xDedic forudsat skurke adgang til over 70.000 hacket RDP endpoints, men et år senere, på trods af mediernes opmærksomhed og forsøg på at tage ned på webstedet, xDedic er RDP-server pool havde gået op til 85.000.
Men xDedic var kun begyndelsen. Andre copycat “RDP-butikker” –som de blev kendt som– dukkede op overalt. Denne reporter har været at spore nogle af disse ydelser i de seneste par år på Twitter [1, 2, 3, 4, 5, 6].
Den seneste af disse blev opdaget bare til sommer i juli. McAfee security forskere har fundet ud af det peddling adgang til RDP-arbejdsstationer placeret på nogle ret følsomme steder som lufthavne, regering, hospitaler og plejehjem.
Men disse butikker ville ikke være et problem, medmindre folk stoppede med at udsætte RDP endpoints helt. Gennem sin indberetning, at FBI er nu opfordret virksomheder til at sikre, at disse systemer, før det er for sent, og de får hacket.
Sammen med Department of Homeland Security, de to organisationer har i dag offentliggjort følgende råd med hensyn til at forbedre RDP-sikkerhed.
Revision dit netværk til systemer, der anvender RDP til ekstern kommunikation. Deaktiver tjenesten, hvis unødvendige eller installere tilgængelige programrettelser. Brugere kan få brug for at arbejde med deres teknologi leverandører for at bekræfte, at patches ikke vil påvirke systemets processer. Kontroller, at alle cloud-baseret virtuel maskine tilfælde med en offentlig IP ikke har åbne RDP havne, specielt port 3389, medmindre der er en gyldig grund til at gøre det. Placere et system med en åben RDP-port bag en firewall og kræver, at brugerne til at bruge et VPN (Virtual Private Network) til at få adgang til det gennem firewall ‘ en. Aktiver en stærk adgangskode og konto lockout politikker til at forsvare sig mod brute-force-angreb. Anvende to-faktor-autentificering, hvor det er muligt. Gælder system og software-opdateringer regelmæssigt. Opretholde en god back-up-strategi. Aktiver logføring og sikre at logge mekanismer fange RDP-logins. Holde logs i mindst 90 dage, og gennemgå dem regelmæssigt for at opdage forsøg på indtrængen. Når du opretter cloud-baserede virtuelle maskiner, holde sig til cloud-udbyder s bedste praksis for remote access. Sikre, at tredjeparter, der kræver RDP-adgang er forpligtet til at følge de interne politikker for fjernadgang. Minimere netværk eksponering for alle kontrol-system enheder. Hvor det er muligt, enheder, der ikke burde have RDP aktiveret. Regulere og begrænse ekstern til intern RDP-forbindelser. Når ekstern adgang til interne ressourcer, der kræves, skal du bruge sikre metoder, såsom Vpn ‘ er, som erkender, Vpn er kun så sikker som de tilsluttede enheder.
Relaterede sikkerhed dækning:
Hvordan til at forebygge problemer med remote desktop godkendelse efter de seneste opdateringer til Windows-servere TechRepublicNye Linux ‘Mutagen Astronomi’ sikkerhedshul virkninger Red Hat og CentOS distributionerOS ISP RCN butikker kunde adgangskoder i klartekst,Firefox fejl, nedbrud din browser og nogle gange din PCTusindvis af WordPress hjemmesider med skadelig kode, backdoored
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0