Sposobnost hekerjev, da izkoristijo skoraj vsako ranljivost, predstavlja enega največjih izzivov za kazenski pregon in mala podjetja. Zvezni preiskovalni urad je pred kratkim izdal opozorilo podjetjem in drugim o drugi grožnji. Hekerji so začeli uporabljati protokol Remote Desktop Protocol (RDP) za izvajanje zlonamernih dejavnosti z večjo frekvenco.
Po podatkih FBI se je uporaba protokola Remote Desktop Protocol kot vektorja napadov povečala od sredine do konca leta 2016. Rast napadov RDP so deloma vodili temni trgi, ki prodajajo protokol Remote Desktop. Ti slabi akterji so našli načine, kako prepoznati in izkoristiti ranljive seje RDP prek interneta.
$config[code] not foundZa mala podjetja, ki uporabljajo RDP za oddaljen nadzor domačega ali pisarniškega računalnika, je potrebno več pozornosti, vključno z izvajanjem močnih gesel in rednim spreminjanjem.
V svoji napovedi FBI opozarja: "Napadi, ki uporabljajo protokol RDP, ne zahtevajo uporabniškega vnosa, zaradi česar je težko zaznati vdore."
Kaj je protokol oddaljenega namizja?
Namenjen daljinskemu dostopu in upravljanju, je RDP Microsoftova metoda za poenostavitev prenosa podatkov med aplikacijskimi uporabniki, napravami, navideznimi namizji in terminalskim strežnikom Remote Desktop Protocol.
Preprosto povedano, RDP vam omogoča nadzor računalnika na daljavo za upravljanje virov in dostop do podatkov. Ta funkcija je pomembna za mala podjetja, ki ne uporabljajo računalništva v oblaku in se zanašajo na svoje računalnike ali strežnike, nameščene v prostorih.
To ni prvič, da je RDP predstavil varnostna vprašanja. V preteklosti so imele zgodnje različice ranljivosti, zaradi katerih so bile dovzetne za napad človeka v sredini, ki je napadalcem omogočil nepooblaščen dostop.
Med letoma 2002 in 2017 je Microsoft izdal posodobitve, ki so odpravile 24 glavnih ranljivosti, povezanih z protokolom Remote Desktop. Nova različica je varnejša, vendar napoved FBI opozarja, da jo hekerji še vedno uporabljajo kot vektor za napade.
Hakiranje protokola oddaljenega namizja: ranljivosti
FBI je odkril več ranljivosti - vendar se vse začne s šibkimi gesli.
Agencija pravi, da če uporabljate slovarske besede in ne vključujejo kombinacije velikih in malih črk, številk in posebnih znakov, je vaše geslo ranljivo za brutalne in slovarske napade.
Zastareli protokol oddaljenega namizja z uporabo protokola CredSSP (Security CredSSP) prav tako predstavljajo ranljivosti. CredSSP je aplikacija, ki prenese poverilnice uporabnika od odjemalca na ciljni strežnik za oddaljeno overjanje. Zastareli PRP omogoča potencialno zagon napadov človek-v-sredi.
Druge ranljivosti vključujejo omogočanje neomejenega dostopa do privzetih vrat protokola Remote Desktop Protocol (TCP 3389) in omogočanje neomejenih poskusov prijave.
Hekiranje protokola oddaljenega namizja: grožnje
To so nekateri primeri groženj, ki jih je navedel FBI:
CrySiS Ransomware: CrySIS ransomware je namenjen predvsem ameriškim podjetjem prek odprtih pristanišč RDP, ki uporabljajo tako sovražne sile kot tudi napade v slovarjih za pridobitev nepooblaščenega oddaljenega dostopa. CrySiS nato spusti svojo ransomware na napravo in jo izvede. Akterji grožnje zahtevajo plačilo v Bitcoinu v zameno za ključ za dešifriranje.
CryptON Ransomware: CryptON ransomware uporablja brutalne napade za dostop do sej RDP, nato pa grozilnemu akterju omogoča ročno izvajanje zlonamernih programov na ogroženem računalniku. Cyber igralci običajno zahtevajo Bitcoin v zameno za navodila za dešifriranje.
Samsam Ransomware: Samsamova ransomware uporablja širok spekter izkoriščanja, vključno s tistimi, ki napadajo RDP naprave, za izvajanje napadov s surovo silo. Julija 2018 so igralci Samsamove grožnje uporabili napad s surovo silo na prijavne podatke za prijavo RDP, da bi se infiltrirali v zdravstveno podjetje. Ransomware je lahko šifriral na tisoče strojev pred odkrivanjem.
Dark Web Exchange: Akterji groženj kupujejo in prodajajo ukradene prijavne podatke o RDP na temnem spletu. Vrednost poverilnic je določena z lokacijo ogroženega stroja, programsko opremo, uporabljeno v seji, in vsemi dodatnimi atributi, ki povečujejo uporabnost ukradenih sredstev.
Hakiranje protokola oddaljenega namizja: kako se lahko zaščitite?
Pomembno je, da se spomnite vsakič, ko poskusite dostopiti do oddaljenega oddaljenega prostora, obstaja tveganje. Ker protokol Remote Desktop Protocol popolnoma nadzoruje sistem, morate urediti, spremljati in upravljati, kdo ima tesen dostop.
Z izvajanjem naslednjih najboljših praks FBI in ameriško ministrstvo za domovinsko varnost trdita, da imata boljše možnosti proti napadom na podlagi RDP.
- Omogočite močna pravila za gesla in zaklepanje računov za zaščito pred napadom s silo.
- Uporabite preverjanje pristnosti v dveh faktorjih.
- Uporabljajte sistemske in programske posodobitve redno.
- Imajo zanesljivo strategijo varnostnega kopiranja z močnim sistemom za obnovitev.
- Omogočite beleženje in zagotovite mehanizme za beleženje za zajemanje prijav za oddaljeni namizni protokol. Dnevnike hranite najmanj 90 dni. Hkrati pregledajte prijave, da zagotovite, da jih uporabljajo samo tisti, ki imajo dostop.
Ostanke priporočil si lahko ogledate tukaj.
Naslovi kršitev podatkov se redno pojavljajo v novicah in dogajajo se velikim organizacijam z navidezno neomejenimi viri. Čeprav se lahko zdi nemogoče zaščititi vaše majhno podjetje pred vsemi kibernetskimi grožnjami, lahko zmanjšate tveganje in odgovornost, če imate prave protokole, ki so strogo upravljani za vse stranke.
Slika: FBI