• Articles
• admin

med coronavirus spredt over hele verden, flere mennesker arbejder hjemmefra som en måde at øve social afstand på. Men fjernarbejdere skal stadig gøre deres job efter bedste evne. Nogle gange betyder det at oprette forbindelse til en arbejdsstation eller server i virksomheden for at udføre nøgleopgaver. Og for det er mange organisationer med vinduer computere afhængige af Microsofts Remote Desktop Protocol (RDP). Ved hjælp af sådanne indbyggede værktøjer som Remote Desktop-forbindelse kan folk få adgang til og arbejde med eksterne maskiner.

RDP er blevet ramt af forskellige sikkerhedshuller og forhindringer gennem årene. Mest bemærkelsesværdigt gav 2019 anledning til en sårbarhed kendt som BlueKeep, der kunne give cyberkriminelle mulighed for eksternt at overtage en tilsluttet PC, der ikke er korrekt patched. Desuden bruger hackere løbende brute force-angreb for at forsøge at få brugeroplysningerne til konti, der har fjernskrivebordsadgang. Hvis det lykkes, kan de derefter få adgang til de eksterne arbejdsstationer eller servere, der er oprettet til den konto. Af disse grunde og mere er organisationer nødt til at vedtage visse sikkerhedsforanstaltninger for at beskytte sig selv, når de bruger Microsofts RDP.

se: Sådan arbejder du hjemmefra: IT pro ‘ s guidebog til telearbejde og fjernarbejde (TechRepublic Premium)

i det følgende spørgsmål&a, Jerry Gamblin, hovedsikkerhedsingeniør hos Kenna Security, og A. N. Ananth, chief strategy officer hos managed security Service provider Netsurion, tilbyde deres tanker og råd til organisationer, der bruger RDP.

hvilke sikkerhedssårbarheder og mangler skal organisationer være opmærksomme på med RDP?

Gamblin: som alle sårbarheder er det vigtigt at tage en risikobaseret tilgang og prioritere patching af RDP-sårbarheder, der har kendt våbeniserede offentlige udnyttelser som CVE-2019-0708 (BlueKeep). Patching sårbarheder uden våbeniserede offentlige udnyttelser som CVE-2020-0660 er sikre at holde i din normale patching kadence.

Ananth: RDP som implementeret i versioner af vinduer, herunder Server 2008/12 R2, 7, 8.1, 10, er kendt sårbare over for udnyttelser beskrevet som CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 og CVE-2019-1226. Fra midten af 2019 blev omkring 800 millioner brugere betragtet som sårbare. Udnyttelse af disse sårbarheder har været til salg på kriminelle markedspladser siden 2018.

Ældre servere, som er sårbare, er ofte lappet på en langsommere cyklus, og dette forlænger levetiden af sådanne sårbarheder. Som shodan.io gør det nemt for angribere hurtigt at identificere sårbare offentlige maskiner. På verdensplan er mere end to millioner systemer udsat for internettet via RDP, hvoraf mere end 500.000 er i USA.

Hvordan forsøger hackere og cyberkriminelle at drage fordel af RDP-konti og forbindelser?

Gamblin: at finde og udnytte en RDP-sårbarhed vil være det første skridt i en angrebskæde, der sandsynligvis vil blive brugt til at angribe interne datalagre og katalogtjenester for at dreje til enten et økonomisk motiv eller evnen til at forstyrre operationer.

Ananth: En almindelig taktik er RDP brute-tvang, hvor angribere automatiserer mange loginforsøg ved hjælp af fælles legitimationsoplysninger, håber man rammer. Det andet indebærer at udnytte en programmel sårbarhed for at få kontrol over en RDP-server. For eksempel kunne angribere udnytte BlueKeep (CVE-2019-0708) for at få fuld kontrol over en administreret tjenesteudbyders (MSP) upatchede RDP-servere.

et nyt modul i Trickbot forsøger specifikt at brute-force RDP-konti. Angrebene på Sodinokibi og GandCrab indeholder RDP-moduler. Ryuk løsepenge, som har været særlig aktiv i 1.kvartal 2020, bruger RDP til at sprede sig sideværts, efter at det første fodfæste er opnået. RobinHood-angrebet mod byen Baltimore i maj 2019 og SamSam-angrebet mod byen Atlanta i August 2018 er eksempler på RDP-oprindelige angreb.

hvilke sikkerhedsmuligheder skal organisationer indføre for bedre at beskytte sig mod trusler mod RDP-konti og-forbindelser?

Gamblin: uden mange undtagelser skal alle RDP-forekomster kræve flere niveauer af adgangs-og godkendelseskontrol. Dette vil omfatte brugen af en VPN til at få adgang til en RDP-forekomst og kræve en anden faktor (som Duo) til godkendelse. Nogle store organisationer placerer RDP direkte på internettet, men de fleste (forhåbentlig) gør det ubevidst. Kontrol på dette er ret simpelt; bare fyre op din favorit internet-dækkende scanner og se på alle RDP forekomster direkte udsat.

Ananth: der er nogle indbyggede, uden omkostninger forsvar, der kan sikre RDP. Disse omfatter:

• Patching: hold serverne særligt opdaterede.
• komplekse adgangskoder: Brug også tofaktorautentificering og implementer lockout-politikker.
• standardport: Skift standardporten, der bruges af RDP, fra 3389 til noget andet via registreringsdatabasen.
• Brug de indbyggede vinduer til at begrænse RDP-sessioner efter IP-adresse.
• Netværksniveauautentificering (NLA): aktiver NLA, som ikke er standard på ældre versioner.
• Begræns RDP-adgang: Begræns RDP-adgang til en bestemt brugergruppe. Tillad ikke nogen domæneadministrator at få adgang til RDP.
• Tunnel RDP-adgang: Tunneladgang via IPSec eller Secure Shell (SSH).

men selvom du tog alle disse forebyggelses-og hærdningstrin, kan man ikke garantere sikkerheden. Overvåg RDP udnyttelse. Kig efter første gang-set og unormal adfærd. En række mislykkede forsøg efterfulgt af et vellykket forsøg indikerer vellykket brute force adgangskode gætte. En Siem-løsning (Security Information and Event Management) med effektive korrelationsfunktioner kan hurtigt identificere sådanne forsøg.

Se også

• Mørk hjemmeside: et snydeark til professionelle (TechRepublic)
• 2020 tekniske konferencer og begivenheder, der skal føjes til din kalender (gratis PDF) (TechRepublic Hent)
• Politikpakke: Arbejdspladsetik (TechRepublic Premium)
• fjernarbejde 101: professionel guide til handelsværktøjerne
• 5 bedste stående skrivebordsomformere til 2020 (CNET)
• de 10 vigtigste iPhone-apps gennem tidene (Download.com)
• Tech historie: Tjek vores dækning (TechRepublic på Flipboard)