Hackers evne til å utnytte nesten alle sårbarhet utgjør en av de største utfordringene for rettshåndhevelse - og til små bedrifter. Federal Bureau of Investigation nylig utstedt en advarsel til bedrifter og andre om en annen trussel. Hackere har begynt å utnytte Remote Desktop Protocol (RDP) for å utføre ondsinnede aktiviteter med større frekvens.
Ifølge FBI har bruk av Remote Desktop Protocol som angripsvektor økt siden midten av slutten av 2016. Økningen i RDP-angrepene har delvis blitt drevet av mørke markeder som selger Remote Desktop Protocol-tilgang. Disse dårlige skuespillerne har funnet måter å identifisere og utnytte sårbare RDP-økter over Internett.
$config[code] not foundFor små bedrifter som bruker RDP til å styre deres hjemme- eller kontormaskiner eksternt, er det nødvendig med større årvåkenhet, inkludert implementering av sterke passord og endring av dem regelmessig.
I sin kunngjøring advarer FBI, "Angrep ved hjelp av RDP-protokollen krever ikke brukerinngang, noe som gjør det vanskelig å oppdage inntrengninger."
Hva er Remote Desktop Protocol?
Utviklet for ekstern tilgang og administrasjon, er RDP en Microsoft-metode for å forenkle applikasjonsdataoverføring mellom klientbrukere, enheter, virtuelle skrivebord og en eksternt skrivebordsprotoklarterminal.
Enkelt sagt, RDP lar deg styre datamaskinen eksternt for å administrere ressursene dine og få tilgang til data. Denne funksjonen er viktig for små bedrifter som ikke bruker cloud computing og stole på datamaskinene eller serverne som er installert på lokalene.
Dette er ikke første gang RDP har presentert sikkerhetsproblemer. Tidligere versjoner hadde sårbarheter som gjorde dem utsatt for et mann-i-midten-angrep som ga angriperne uautorisert tilgang.
Mellom 2002 og 2017 utstedte Microsoft oppdateringer som fastsatte 24 store sårbarheter knyttet til Remote Desktop Protocol. Den nye versjonen er sikrere, men FBI-kunngjøringen peker ut at hackere fortsatt bruker den som en vektor for angrep.
Ekstern skrivebordsprotokoll hacking: Vulnerabilities
FBI har identifisert flere sårbarheter - men alt starter med svake passord.
Byrået sier at hvis du bruker ordboksord og du ikke inkluderer en kombinasjon av store og små bokstaver, tall og spesialtegn, er passordet ditt sårbart for brute-force og ordbokangrep.
Utdatert Remote Desktop Protocol ved hjelp av Credential Security Security Provider-protokollen (CredSSP) presenterer også sårbarheter. CredSSP er et program som delegerer brukerens legitimasjon fra klienten til målserveren for ekstern autentisering. En utdatert RDP gjør det mulig å starte man-i-midten-angrep.
Andre sikkerhetsproblemer inkluderer å tillate ubegrenset tilgang til standard-porten for eksternt skrivebordsprotokoll (TCP 3389) og tillater ubegrenset påloggingsforsøk.
Ekstern skrivebordsprotokoll hacking: trusler
Dette er noen eksempler på truslene som er oppført av FBI:
CrySiS Ransomware: CrySIS ransomware retter seg primært mot amerikanske virksomheter gjennom åpne RDP-porter, ved hjelp av både brute-force og ordbokangrep for å få uautorisert ekstern tilgang. CrySiS dråper deretter sin ransomware på enheten og utfører den. Trusselaktørene krever betaling i Bitcoin i bytte for en dekrypteringsnøkkel.
CryptON Ransomware: CryptON ransomware bruker brute force angrep for å få tilgang til RDP økter, og lar en trussel actor manuelt utføre skadelige programmer på den kompromitterte maskinen. Cyber-aktører krever typisk Bitcoin i bytte for dekrypteringsretninger.
Samsam Ransomware: Samsam ransomware bruker et bredt spekter av utnyttelser, inkludert de som angriper RDP-aktiverte maskiner, for å utføre brute force-angrep. I juli 2018 brukte Samsam-trusselaktører et brutalt kraftangrep på RDP-påloggingsinformasjon for å infiltrere et helsevesen. Ransomware kunne kryptere tusenvis av maskiner før det ble oppdaget.
Dark Web Exchange: Trusselskaperne kjøper og selger stjålet RDP-påloggingsinformasjon på Dark Web. Verdien av legitimasjon bestemmes av plasseringen av den kompromitterte maskinen, programvaren som brukes i økten, og eventuelle tilleggsegenskaper som øker brukbarheten til de stjålne ressursene.
Ekstern skrivebordsprotokoll hacking: Hvordan kan du beskytte deg selv?
Det er viktig å huske når du prøver å få tilgang til noe eksternt, er det en risiko. Og fordi Remote Desktop Protocol fullt ut styrer et system, bør du regulere, overvåke og administrere hvem som har tilgang tett.
Ved å implementere følgende beste praksis, sier FBI og US Department of Homeland Security at du har en bedre sjanse mot RDP-baserte angrep.
- Aktivere sterke passord og kontoavbruddspolitikker for å forsvare seg mot brutal-kraftangrep.
- Bruk tofaktorautentisering.
- Bruk system- og programvareoppdateringer regelmessig.
- Ha en pålitelig sikkerhetskopieringsstrategi med et sterkt gjenopprettingssystem.
- Aktiver logging og sikre loggingsmekanismer for å fange innlogginger for eksternt skrivebordsprotokoll. Hold loggene i minst 90 dager. På samme tid vurderer du påloggingene for å sikre at bare de som har tilgang, bruker dem.
Du kan se på resten av anbefalingene her.
Overskrifter av data brudd er i nyhetene regelmessig, og det skjer med store organisasjoner med tilsynelatende ubegrensede ressurser. Selv om det kan virke umulig å beskytte småbedrifter fra alle cyberstruslene der ute, kan du minimere risikoen og ansvaret hvis du har de riktige protokollene på plass med streng styring for alle parter.
Bilde: FBI