SANS Institute: “Maart zag 30% meer Remote Desktop Protocol-aanvallen”

09-04-2020 - Londen

SANS Institute heeft in maart 2020 een toename van 30% vastgesteld van het aantal aanvallen op Remote Desktop Protocol-servers. Deze stijging valt samen met een aanzienlijke toename van blootgestelde RDP-servers, zoals gemeten door zoekmachine Shodan waarmee gebruikers op het internet naar verbonden apparaten kunnen zoeken.

De bevindingen voor maart 2020 zijn zorgwekkend, aangezien ze ook samenvallen met de enorme golf van bedrijven die werknemers vanuit huis laten werken om zo te voldoen aan social distancing ten tijde van COVID-19. Om werknemers in staat te stellen vanuit thuis hun werk voort te zetten, hebben organisaties RDP geïmplementeerd dat vertrouwelijke systemen aan het publieke internet zou kunnen blootstellen.

Dr. Johannes Ullrich, SANS-fellow en Dean of Research bij SANS Technology Institute: “Het aantal bron-IP-adressen dat aanvallers hebben gebruikt om internet op RDP te scannen, nam in maart met ongeveer 30% toe. Per maand ligt het gemiddelde aantal aangevallen IP-adressen op 2.600, maar in maart waren dit er zo’n 3.540 per dag. RDP is geen protocol dat krachtig genoeg is om aan het internet te worden blootgesteld. We zien nu dat aanvallers zwakke inloggegevens verhandelen die ze voor deze RDP-servers hebben gevonden. Een beschadigde RDP-server kan leiden tot een complete beschadiging van het blootgestelde systeem en zal waarschijnlijk worden gebruikt om andere systemen binnen het netwerk aan te vallen en te exploiteren.”

Remote Desktop Protocol is een door Microsoft ontwikkeld protocol dat een grafische interface biedt om via een netwerkverbinding met andere computers een verbinding te leggen. Het is voor bedrijven een goedkope en relatief eenvoudige manier om telewerken mogelijk te maken. Een gebruiker dient hiervoor RDP-clientsoftware te gebruiken, terwijl de andere computer RDP-serversoftware moet toepassen.

“Gebruik unieke, lange en willekeurige wachtwoorden om RDP-servers te beveiligen en, indien mogelijk, verleen alleen toegang via een VPN”, adviseert Ullrich bedrijven die RDP hebben geïmplementeerd. “Microsoft biedt ook RDP Gateway die kan worden gebruikt om een ​​sterk authenticatiebeleid op te zetten. Bedrijven kunnen proberen de toegang tot RDP vanaf specifieke IP-adressen te beperken wanneer er op een bepaald moment geen VPN kan worden geïmplementeerd. Dit kan alleen moeilijk zijn wanneer IT-beheerders vanuit huis met dynamische IP-adressen werken.”

“Een andere optie is om een ​​cloudserver als startpunt te gebruiken’, vervolgt Ullrich. “Zet de cloudserver op de whitelist en gebruik veilige protocollen zoals SSH om verbinding met de cloudserver te maken. Deze techniek kan als snelle oplossing werken wanneer bedrijven geen uitvaltijd willen riskeren en iedereen op afstand werkt. Veel organisaties willen en kunnen het verlies van toegang tot bedrijfskritische systemen niet riskeren. Het wijzigen van externe toegang en firewallregels kan leiden tot verlies van toegang die in sommige gevallen alleen kan worden hersteld door iemand op locatie.”

Bekijk andere publicaties