Hackers evne til at udnytte næsten enhver sårbarhed udgør en af de største udfordringer for retshåndhævelse - og til små virksomheder. Federal Bureau of Investigation udstedte for nylig en advarsel til virksomheder og andre om en anden trussel. Hackere er begyndt at udnytte Remote Desktop Protocol (RDP) til at udføre ondsindede aktiviteter med større frekvens.
Ifølge FBI er brugen af Remote Desktop Protocol som en angrebsvektor steget siden midten til slutningen af 2016. Stigningen i RDP-angreb er til dels blevet drevet af mørke markeder, der sælger adgang til Remote Desktop Protocol. Disse dårlige aktører har fundet måder at identificere og udnytte sårbare RDP-sessioner over internettet på.
$config[code] not foundFor små virksomheder, der bruger RDP til at styre deres hjemme- eller kontorcomputere eksternt, er der behov for mere årvågenhed, herunder implementering af stærke adgangskoder og ændring af dem regelmæssigt.
I sin meddelelse advarer FBI, "Angreb ved hjælp af RDP-protokollen kræver ikke brugerindgang, hvilket gør indtrængen svært at opdage."
Hvad er Remote Desktop Protocol?
Designet til fjernadgang og administration er RDP en Microsoft-metode til at forenkle applikationsdataoverførsel mellem klientbrugere, enheder, virtuelle stationære computere og en terminalprotokol-terminalserver.
Kort sagt, RDP giver dig mulighed for at styre computeren eksternt for at administrere dine ressourcer og få adgang til data. Denne funktion er vigtig for små virksomheder, der ikke bruger cloud computing og er afhængige af deres computere eller servere installeret på lokaler.
Dette er ikke første gang RDP har præsenteret sikkerhedsproblemer. Tidligere versioner havde sårbarheder, der gjorde dem modtagelige for et menneske-i-midten-angreb, der gav angriberne uautoriseret adgang.
Mellem 2002 og 2017 udstedte Microsoft opdateringer, der fastsatte 24 store sårbarheder relateret til Remote Desktop Protocol. Den nye version er mere sikker, men FBI-meddelelsen påpeger, at hackere stadig bruger det som en vektor til angreb.
Hacking til fjernbordsprotokol: Sårbarhederne
FBI har identificeret flere sårbarheder - men det hele starter med svage adgangskoder.
Agenturet siger, at hvis du bruger ordboksord, og du ikke indeholder en kombination af store og små bogstaver, tal og specialtegn, er dit kodeord sårbart for brute-force og ordboksangreb.
Forældet fjernbordsprotokoll ved hjælp af Credential Security Security Provider-protokollen (CredSSP) indeholder også sårbarheder. CredSSP er en applikation, der delegerer brugerens legitimationsoplysninger fra klienten til målserveren til ekstern godkendelse. En forældet RDP gør det muligt at muligvis starte mand-i-midten-angreb.
Andre sårbarheder omfatter at tillade ubegrænset adgang til standard fjernbordsprotokolport (TCP 3389) og tillade ubegrænsede loginforsøg.
Remote Desktop Protocol Hacking: Trusler
Dette er nogle eksempler på de trusler, som FBI opstiller:
CrySiS Ransomware: CrySIS ransomware retter sig primært til amerikanske virksomheder gennem åbne RDP-porte, der bruger både brute-force og ordbog angreb for at få uautoriseret fjernadgang. CrySiS dråber derefter sin ransomware på enheden og udfører den. Trusselaktørerne kræver betaling i Bitcoin i bytte for en dekrypteringsnøgle.
CryptON Ransomware: CryptON ransomware bruger brute-force angreb for at få adgang til RDP-sessioner, så det er muligt for en trusselvirkende at manuelt udføre skadelige programmer på den kompromitterede maskine. Cyber-aktører anmoder typisk Bitcoin i bytte for dekrypteringsretninger.
Samsam Ransomware: Samsam ransomware bruger en bred vifte af udbytter, herunder dem, der angriber RDP-aktiverede maskiner, til at udføre brute-force angreb. I juli 2018 brugte Samsam-trusselaktører et brutalt kraftangreb på RDP login credentials for at infiltrere et sundhedsfirma. Ransomware kunne kryptere tusindvis af maskiner inden detektion.
Dark Web Exchange: Trusselaktører køber og sælger stjålne RDP login credentials på Dark Web. Værdien af legitimationsoplysninger bestemmes af placeringen af den kompromitterede maskine, den software, der benyttes i sessionen, og eventuelle yderligere attributter, der øger anvendeligheden af de stjålne ressourcer.
Remote Desktop Protocol Hacking: Hvordan kan du beskytte dig selv?
Det er vigtigt at huske, når du forsøger at få adgang til noget fjernt, er der risiko. Og fordi Remote Desktop Protocol fuldt ud styrer et system, bør du regulere, overvåge og administrere, der har adgang tæt.
Ved at implementere følgende bedste praksis siger FBI og US Department of Homeland Security at du har en bedre chance mod RDP-baserede angreb.
- Aktivér stærke adgangskoder og kontobeskyttelsespolitikker for at forsvare sig mod brutale kræfter.
- Brug tofaktors godkendelse.
- Anvend regelmæssigt system- og softwareopdateringer.
- Har en pålidelig backup strategi med et stærkt opsving system.
- Aktivér logføring og sørg for logningsmekanismer for at indfange Logins til fjernbordsprotokol. Hold logfilerne i mindst 90 dage. Gennemgå logins på samme tid for at sikre, at kun de, der har adgang, bruger dem.
Du kan se resten af anbefalingerne her.
Overskrifter af databrud er regelmæssigt i nyhederne, og det sker for store organisationer med tilsyneladende ubegrænsede ressourcer. Selvom det kan virke umuligt at beskytte din lille virksomhed mod alle cyberstrusler derude, kan du minimere din risiko og ansvar, hvis du har de rigtige protokoller på plads med streng styring for alle parter.
Billede: FBI
