Zdolność hakerów do wykorzystywania niemal każdej luki stanowi jedno z największych wyzwań dla organów ścigania - i dla małych firm. Federalne Biuro Śledcze wydało ostatnio ostrzeżenie dla firm i innych o kolejnym zagrożeniu. Hakerzy zaczęli wykorzystywać protokół zdalnego pulpitu (RDP) do przeprowadzania złośliwych działań z większą częstotliwością.
Według FBI wykorzystanie protokołu Remote Desktop Protocol jako wektora ataku zwiększyło się od połowy do końca 2016 r. Wzrost liczby ataków RDP był częściowo spowodowany przez ciemne rynki sprzedające dostęp do protokołu Remote Desktop Protocol. Ci źli aktorzy znaleźli sposoby na zidentyfikowanie i wykorzystanie podatnych sesji RDP przez Internet.
$config[code] not foundW przypadku małych firm, które używają protokołu RDP do zdalnej kontroli komputerów domowych lub biurowych, wymagana jest większa czujność, w tym wdrażanie silnych haseł i regularna ich zmiana.
W swoim komunikacie FBI ostrzega: "Ataki wykorzystujące protokół RDP nie wymagają wprowadzania danych przez użytkownika, co utrudnia wykrycie intruzów."
Co to jest protokół zdalnego pulpitu?
Zaprojektowany do zdalnego dostępu i zarządzania, RDP to metoda firmy Microsoft upraszczająca transfer danych aplikacji między klientami, urządzeniami, wirtualnymi pulpitami i serwerem terminali protokołu zdalnego pulpitu.
Mówiąc najprościej, protokół RDP umożliwia zdalne kontrolowanie komputera w celu zarządzania zasobami i dostępem do danych. Ta funkcja jest ważna dla małych firm, które nie korzystają z przetwarzania w chmurze i polegają na swoich komputerach lub serwerach zainstalowanych w lokalu.
To nie pierwszy raz, kiedy PROW przedstawił kwestie bezpieczeństwa. W przeszłości wczesne wersje posiadały luki w zabezpieczeniach, które czyniły je podatnymi na atak typu "man-in-the-middle", umożliwiając atakującym nieautoryzowany dostęp.
W latach 2002-2017 Microsoft wydał aktualizacje, które naprawiły 24 główne luki w zabezpieczeniach związane z protokołem zdalnego pulpitu. Nowa wersja jest bezpieczniejsza, ale ogłoszenie FBI wskazuje, że hakerzy wciąż używają go jako wektora do ataków.
Hackowanie protokołów zdalnego pulpitu: luki w zabezpieczeniach
FBI zidentyfikowało kilka słabych punktów - ale wszystko zaczyna się od słabych haseł.
Agencja mówi, że jeśli używasz słów ze słownika i nie zawierasz kombinacji wielkich i małych liter, cyfr i znaków specjalnych, twoje hasło jest podatne na ataki brute-force i słownikowe.
Przestarzały protokół pulpitu zdalnego wykorzystujący protokół Credential Security Provider (CredSSP) również przedstawia luki w zabezpieczeniach. CredSSP to aplikacja, która przekazuje poświadczenia użytkownika od klienta do serwera docelowego w celu zdalnego uwierzytelnienia. Nieaktualny PROW umożliwia potencjalnie uruchomienie ataków typu "man-in-the-middle".
Inne luki obejmują umożliwienie nieograniczonego dostępu do domyślnego portu protokołu zdalnego pulpitu (TCP 3389) i umożliwienie nieograniczonej liczby prób logowania.
Hackowanie protokołów zdalnego pulpitu: Zagrożenia
Oto kilka przykładów zagrożeń wymienionych przez FBI:
CrySiS Ransomware: Ransomware CrySIS jest skierowane przede wszystkim do amerykańskich firm poprzez otwarte porty RDP, wykorzystując ataki brute-force i słownikowe, aby uzyskać nieautoryzowany zdalny dostęp. CrySiS następnie przenosi oprogramowanie ransomware na urządzenie i wykonuje je. Zagrożeni aktorzy żądają zapłaty w Bitcoin w zamian za klucz odszyfrowywania.
CryptON Ransomware: Crypton ransomware wykorzystuje ataki brute-force, aby uzyskać dostęp do sesji RDP, a następnie pozwala aktorowi zagrozić ręcznemu wykonaniu złośliwych programów na zaatakowanej maszynie. Cyber aktorzy zazwyczaj żądają Bitcoin w zamian za wskazówki odszyfrowania.
Samsam Ransomware: Samsam ransomware wykorzystuje szeroką gamę exploitów, w tym atakujących maszyny z obsługą RDP, do wykonywania brutalnych ataków. W lipcu 2018 r. Agenci Samsam wykorzystali brutalny atak na dane logowania do RDP w celu infiltracji firmy medycznej. Oprogramowanie ransomware było w stanie zaszyfrować tysiące komputerów przed wykryciem.
Dark Web Exchange: Twórcy zagrożeń kupują i sprzedają skradzione dane logowania do RDP w Dark Web. Wartość danych uwierzytelniających zależy od lokalizacji zaatakowanej maszyny, oprogramowania wykorzystywanego w sesji oraz wszelkich dodatkowych atrybutów zwiększających użyteczność skradzionych zasobów.
Hackowanie protokołów zdalnego pulpitu: jak się chronić?
Ważne jest, aby pamiętać, że za każdym razem, gdy próbujesz uzyskać dostęp do czegoś na odległość, istnieje ryzyko. A ponieważ protokół Remote Desktop Protocol w pełni kontroluje system, powinieneś regulować, monitorować i zarządzać, kto ma do niego dostęp.
Wprowadzając poniższe najlepsze praktyki, FBI i amerykański Departament Bezpieczeństwa Wewnętrznego mówią, że masz większe szanse na ataki oparte na RDP.
- Włącz silne hasła i zasady blokowania kont, aby bronić się przed atakami typu brute-force.
- Użyj uwierzytelniania dwuskładnikowego.
- Regularnie stosuj aktualizacje systemu i oprogramowania.
- Mieć niezawodną strategię tworzenia kopii zapasowych z silnym systemem odzyskiwania.
- Włącz rejestrowanie i upewnij się, że mechanizmy rejestrowania przechwytują loginy protokołu Remote Desktop Protocol. Przechowuj dzienniki przez co najmniej 90 dni. W tym samym czasie przejrzyj loginy, aby upewnić się, że korzystają z nich tylko osoby z dostępem.
Możesz zapoznać się z resztą zaleceń tutaj.
Nagłówki naruszeń bezpieczeństwa danych regularnie pojawiają się w wiadomościach, a dzieje się tak w dużych organizacjach z pozornie nieograniczonymi zasobami. Choć może wydawać się niemożliwe, aby chronić swój mały biznes przed wszystkimi zagrożeniami cybernetycznymi, możesz zminimalizować swoje ryzyko i odpowiedzialność, jeśli masz odpowiednie protokoły i ścisłe zarządzanie dla wszystkich stron.
Obraz: FBI