• Articles
• admin

s koronavirem šířícím se po celém světě, více lidí pracuje z domova jako způsob, jak praktikovat sociální distancování. Vzdálení pracovníci však stále musí dělat svou práci podle svých nejlepších schopností. Někdy to znamená připojení k pracovní stanici nebo serveru v rámci společnosti k provádění klíčových úkolů. A proto se mnoho organizací s počítači se systémem Windows spoléhá na protokol Microsoft Remote Desktop Protocol (RDP). Pomocí takových vestavěných nástrojů, jako je připojení ke vzdálené ploše, mohou lidé přistupovat a pracovat se vzdálenými počítači.

RDP byla v průběhu let zasažena různými bezpečnostními otvory a překážkami. Zejména 2019 způsobil zranitelnost známou jako BlueKeep, která by mohla umožnit kybernetickým zločincům vzdáleně převzít připojený počítač, který není správně opraven. Hackeři dále neustále používají útoky hrubou silou, aby se pokusili získat přihlašovací údaje uživatele účtů, které mají přístup ke vzdálené ploše. Pokud budou úspěšní, mohou získat přístup ke vzdáleným pracovním stanicím nebo serverům nastaveným pro tento účet. Z těchto a dalších důvodů musí organizace přijmout určitá bezpečnostní opatření, aby se chránily při používání RDP společnosti Microsoft.

viz: Jak pracovat z domova: průvodce IT pro k práci z domova a vzdálené práci (TechRepublic Premium)

v následujícím Q& a, Jerry Gamblin, hlavní bezpečnostní inženýr společnosti Kenna Security, a A. N. Ananth, chief strategy officer u poskytovatele spravovaných bezpečnostních služeb Netsurion, nabízejí své myšlenky a Rady organizacím, které používají RDP.

jaké bezpečnostní chyby a nedostatky by si organizace měly být vědomy s RDP?

Gamblin: stejně jako všechny zranitelnosti je důležité přijmout přístup založený na rizicích a upřednostnit opravu zranitelností RDP, které znaly veřejné zneužití zbraní, jako je CVE-2019-0708 (BlueKeep). Oprava zranitelností bez ozbrojených veřejných exploitů, jako je CVE-2020-0660, je bezpečná pro udržení vaší normální záplatovací kadence.

Anth: RDP implementované ve verzích Windows, včetně serveru 2008/12 R2, 7, 8.1, 10, jsou známy zranitelné vůči exploitům popsaným jako CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 a CVE-2019-1226. Od poloviny roku 2019 bylo asi 800 milionů uživatelů považováno za zranitelné. Exploity pro tyto zranitelnosti jsou v prodeji na webových kriminálních trzích od roku 2018.

starší servery, které jsou zranitelné, jsou často opravovány v pomalejším cyklu, což prodlužuje životnost těchto zranitelností. Webové prohledávače jako shodan.io usnadňuje útočníkům rychle identifikovat zranitelné stroje orientované na veřejnost. Na celém světě je více než dva miliony systémů vystaveno internetu prostřednictvím RDP, z nichž více než 500 000 je v USA.

jak se hackeři a počítačoví zločinci snaží využít účtů a připojení RDP?

Gamblin: nalezení a využití zranitelnosti RDP bude prvním krokem v útočném řetězci, který by pravděpodobně byl použit k útoku na interní úložiště dat a adresářové služby, aby se otočil buď k finančnímu motivu, nebo ke schopnosti narušit operace.

Anth: Jednou z běžných taktik je RDP brute-forcing, kde útočníci automatizují mnoho pokusů o přihlášení pomocí běžných přihlašovacích údajů a doufají, že jeden zasáhne. Druhý zahrnuje využití softwarové chyby zabezpečení k získání kontroly nad serverem RDP. Útočníci by například mohli využít BlueKeep (CVE-2019-0708), aby získali úplnou kontrolu nad neopravenými RDP servery poskytovatele spravovaných služeb (MSP).

nový modul v Trickbot konkrétně se snaží hrubou silou RDP účtů. Útoky malwaru Sodinokibi a GandCrab obsahují moduly RDP. Ryuk ransomware, který byl zvláště aktivní v 1Q 2020, používá RDP k šíření bočně po získání počáteční opory. RobinHood útok proti městu Baltimore v květnu 2019 a útok SamSam proti městu Atlanta v srpnu 2018 jsou příklady útoků vzniklých RDP.

jaké možnosti zabezpečení by měly organizace zavést, aby se lépe chránily před hrozbami pro účty a připojení RDP?

Gamblin: bez mnoha výjimek by všechny instance RDP měly vyžadovat více úrovní kontrol přístupu a ověřování. To by zahrnovalo použití VPN pro přístup k instanci RDP a vyžadování druhého faktoru (jako Duo) pro autentizaci. Některé velké organizace umisťují RDP přímo na internet, ale většina (doufejme) to dělá nevědomky. Kontrola na to je docela jednoduché; jen oheň svůj oblíbený internet-široký skener a podívat se na všechny instance RDP přímo vystaveny.

Ananth: tam jsou některé vestavěné, bez nákladů obrany, které mohou zabezpečit RDP. Patří mezi ně:

• Oprava: Udržujte servery zejména aktuální.
• složitá hesla: Použijte také dvoufaktorové ověřování a implementujte zásady uzamčení.
• Výchozí port: Změňte výchozí port používaný RDP z 3389 na něco jiného prostřednictvím registru.
• brána firewall systému Windows: použijte vestavěný firewall systému Windows k omezení relací RDP podle adresy IP.
• ověřování na úrovni sítě (NLA): povolte NLA, která není ve starších verzích výchozí.
• omezit přístup RDP: omezit přístup RDP ke konkrétní skupině uživatelů. Nedovolte žádnému správci domény přístup k RDP.
• přístup k tunelu RDP: přístup k tunelu přes IPSec nebo Secure Shell (SSH).

i když jste provedli všechny tyto preventivní a vytvrzovací kroky, nelze zaručit bezpečnost. Monitor využití RDP. Hledejte poprvé viděné a anomální chování. Posloupnost neúspěšných pokusů následovaných úspěšným pokusem naznačuje úspěšné hádání hesla hrubou silou. Řešení pro správu bezpečnostních informací a událostí (SIEM) s účinnými korelačními schopnostmi může tyto pokusy rychle určit.

Viz také

• Dark Web: cheat sheet pro profesionály (TechRepublic)
• 2020 Tech konference a události přidat do svého kalendáře (zdarma PDF) (TechRepublic ke stažení)
• Policy pack: Etika na pracovišti (TechRepublic Premium)
• Remote working 101: profesionální průvodce nástroji obchodu (ZDNet)
• 5 Nejlepší stálé stolní konvertory pro rok 2020 (CNET)
• 10 nejdůležitějších aplikací pro iPhone všech dob (Download.com)
• Technická historie: podívejte se na naše pokrytí (TechRepublic na Flipboardu)