Sposobnost hakera da iskoristi gotovo svaku ranjivost predstavlja jedan od najvećih izazova za provedbu zakona - i za mala poduzeća. Savezni biro za istrage nedavno je izdao upozorenje tvrtkama i drugima o drugoj prijetnji. Hakeri su počeli iskorištavati protokol za udaljenu radnu površinu (RDP) kako bi provodili zlonamjerne aktivnosti s većom učestalošću.
Prema podacima FBI-a, korištenje Remote Desktop Protocol-a kao vektora napada povećalo se od sredine do kraja 2016. godine. Porast napada u RDP-u djelomično je potaknut tamnim tržištima koja prodaju pristup Remote Desktop Protocol. Ti loši akteri pronašli su načine na koje mogu prepoznati i iskoristiti ranjive sjednice RDP-a putem Interneta.
$config[code] not foundZa male tvrtke koje koriste RDP za daljinsko upravljanje kućnim ili uredskim računalima, potrebna je veća opreznost, uključujući primjenu jakih lozinki i njihovo redovito mijenjanje.
U svojoj najavi, FBI upozorava: "Napadi korištenjem RDP protokola ne zahtijevaju unos od korisnika, zbog čega je teško otkriti upade."
Što je protokol za udaljenu radnu površinu?
Dizajniran za daljinski pristup i upravljanje, RDP je Microsoftova metoda za pojednostavljenje prijenosa podataka između korisnika, uređaja, virtualnih stolnih računala i terminalskog poslužitelja protokola Remote Desktop Protocol.
Jednostavno rečeno, RDP vam omogućuje daljinsko upravljanje računalom za upravljanje resursima i pristup podacima. Ta je značajka važna za male tvrtke koje ne koriste računalstvo u oblaku i oslanjaju se na svoja računala ili poslužitelje instalirane u prostorijama.
Ovo nije prvi put da RDP predstavlja sigurnosna pitanja. U prošlosti su rane verzije imale ranjivosti koje su ih činile podložnima napadu na čovjeka koji je napadačima omogućio neovlašteni pristup.
Između 2002. i 2017. Microsoft je izdao ažuriranja koja su ispravila 24 glavne ranjivosti povezane s protokolom Remote Desktop. Nova verzija je sigurnija, ali najava FBI-a ističe da je hakeri još uvijek koriste kao vektor za napade.
Hakiranje protokola udaljene radne površine: Ranjivosti
FBI je identificirao nekoliko ranjivosti - ali sve počinje sa slabim lozinkama.
Agencija kaže da ako koristite riječi iz rječnika i da ne uključuju kombinaciju velikih i malih slova, brojeva i posebnih znakova, vaša je lozinka ranjiva na brutalni pristup i napade na rječnik.
Zastarjeli protokol za udaljenu radnu površinu koji koristi protokol CredSSP (Security Coder Security Provider) također predstavlja ranjivosti. CredSSP je aplikacija koja delegira korisničke vjerodajnice od klijenta ciljnom poslužitelju za daljinsku provjeru autentičnosti. Zastarjeli RDP omogućuje potencijalno pokretanje napada na čovjeka.
Ostale ranjivosti uključuju omogućavanje neograničenog pristupa zadanom protokolu Remote Desktop Protocol (TCP 3389) i omogućavanje neograničenih pokušaja prijave.
Hakiranje protokola udaljene radne površine: prijetnje
Ovo su neki primjeri prijetnji koje je naveo FBI:
CrySiS Ransomware: CrySIS ransomware prvenstveno cilja američke tvrtke putem otvorenih RDP portova, koristeći i brutalni pristup i napade na rječniku da bi dobili neovlašteni daljinski pristup. CrySiS zatim ispušta svoj ransomware na uređaj i izvršava ga. Akteri prijetnje zahtijevaju plaćanje u Bitcoin-u u zamjenu za ključ za dešifriranje.
CryptON Ransomware: CryptON ransomware koristi brutalne napade kako bi dobio pristup sesijama RDP-a, a zatim akteru prijetnje ručno izvršava zlonamjerne programe na kompromitiranom stroju. Cyber sudionici obično zahtijevaju Bitcoin u zamjenu za upute za dešifriranje.
Samsam Ransomware: Samsamova ransomware koristi širok raspon eksplozija, uključujući i one koji napadaju strojeve s RDP-om, kako bi izvršio brutalne napade. U srpnju 2018, Samsamovi akteri prijetili su brutalnim napadom na vjerodajnice za prijavu RDP-a kako bi se infiltrirali u zdravstvenu tvrtku. Ransomware je mogao otkriti tisuće strojeva prije otkrivanja.
Dark Web Exchange: Akteri prijetnje kupuju i prodaju ukradene vjerodajnice za prijavu RDP-a na Dark Webu. Vrijednost vjerodajnica određena je položajem kompromitiranog stroja, softvera koji se koristi u sesiji i svih dodatnih atributa koji povećavaju iskoristivost ukradenih resursa.
Hakiranje protokola udaljene radne površine: kako se možete zaštititi?
Važno je zapamtiti svaki put kad pokušate pristupiti nečemu udaljenom, postoji rizik. Budući da Remote Desktop Protocol u potpunosti kontrolira sustav, trebali biste regulirati, nadzirati i upravljati tko ima pristup.
Primjenom sljedećih najboljih praksi, FBI i američko Ministarstvo domovinske sigurnosti kažu da imate bolje šanse protiv napada temeljenih na RDP-u.
- Omogućite jake zaporke i pravila zaključavanja računa za obranu od napada na grubu silu.
- Koristite autentifikaciju u dva faktora.
- Redovito primjenjujte ažuriranja sustava i softvera.
- Imati pouzdanu strategiju sigurnosnog kopiranja s jakim sustavom oporavka.
- Omogućite zapisivanje i osigurajte mehanizme za bilježenje kako biste snimili prijave za Remote Desktop Protocol. Dnevnike čuvajte najmanje 90 dana. Istodobno pregledajte prijave kako biste osigurali da ih koriste samo osobe s pristupom.
Ostale preporuke možete pogledati ovdje.
Naslovi kršenja podataka redovito su u vijestima i događaju se velikim organizacijama s naizgled neograničenim resursima. Iako vam se čini da je nemoguće zaštititi svoju malu tvrtku od svih cyber prijetnji, možete smanjiti rizik i odgovornost ako imate odgovarajuće protokole uz strogo upravljanje za sve strane.
Slika: FBI