Atacuri asupra conexiunilor Remote Desktop

2020/05/05
Popularitate 1014

În perioada restricțiilor determinate de răspândirea pandemiei COVID-19, la nivel mondial a crescut numărul persoanelor care lucrează de la distanță, pentru compania sau instituția unde sunt angajate. În acest scop, utilizatorii folosesc adesea conexiuni Remote Desktop, care permit conectarea la distanță.

Numărul de atacuri de tip brute-force care vizează aceste conexiuni a crescut, deoarece atacatorii văd situația specială în care ne aflăm ca pe o oportunitate de a lansa diferite forme de atacuri. Principala atracție pentru infractorii cibernetici sunt datele confidențiale ale companiei, de pe urma cărora încearcă să obțină foloase financiare.

Sesiunile RDP funcționează pe un canal criptat, împiedicând pe oricine să vadă sesiunea dvs. Cu toate acestea, există o vulnerabilitate în metoda folosită pentru criptarea sesiunilor, în versiunile anterioare ale RDP. Această vulnerabilitate poate permite accesul neautorizat la sesiunea dvs., folosind un atac de tipul  man-in-the-middle.

Odată ce compromit conexiunile Remote Desktop, atacatorii pot să distribuie malware, să fure date sau să se deplaseze lateral într-o rețea, pentru recunoaștere și atacuri ulterioare. În ultimele săptămâni, CERT-RO a fost sesizat de o serie de companii și instituții din România cu privire la acest gen de atacuri (ransomware), care le-au produs prejudicii de ordin financiar.

Pentru a evita producerea unor asemenea incidente, administratorii de rețea ar trebui să țină seama de o serie de recomandări de securitate, astfel:

  • Actualizarea software-ului
  • Schimbarea portului de ascultare implicit (3389). RDP foloseste ca port implicit 3389. Modificarea portului de ascultare va ajuta la ascunderea conexiunii de la distanță de atacatorii care scanează rețeaua pentru stații care ascultă portul implicit Desktop Remote (TCP 3389)
  • Folosirea unor parole puternice
  • Restricționarea accesului prin firewall
  • Activarea NLA (Network Level Authentication)
  • Limitarea numărului de utilizatori care se pot conecta via RDP
  • Stabilirea unei politici clare de blocare a contului (în cazul multiplelor eșuări în procesul de conectare)


Vizualizat de 1095 ori