Comment mieux sécuriser vos connexions de protocole de bureau à distance Microsoft
Avec la propagation du coronavirus dans le monde, de plus en plus de gens travaillent à domicile pour pratiquer la distanciation sociale. Mais les travailleurs à distance doivent encore faire leur travail au mieux de leurs capacités. Parfois, cela signifie se connecter à un poste de travail ou à un serveur au sein de l’entreprise pour effectuer des tâches clés. Et pour cela, de nombreuses organisations équipées d’ordinateurs Windows s’appuient sur le protocole RDP (Remote Desktop Protocol) de Microsoft. En utilisant des outils intégrés tels que la connexion au bureau à distance, les utilisateurs peuvent accéder à des machines distantes et travailler avec elles.
RDP a été frappé par divers trous et obstacles de sécurité au fil des ans. Plus particulièrement, 2019 a donné lieu à une vulnérabilité connue sous le nom de BlueKeep qui pourrait permettre aux cybercriminels de s’emparer à distance d’un PC connecté qui n’est pas correctement corrigé. De plus, les pirates utilisent continuellement des attaques par force brute pour tenter d’obtenir les informations d’identification des utilisateurs de comptes disposant d’un accès au bureau à distance. En cas de succès, ils peuvent ensuite accéder aux postes de travail distants ou aux serveurs configurés pour ce compte. Pour ces raisons et plus encore, les organisations doivent adopter certaines mesures de sécurité pour se protéger lorsqu’elles utilisent le RDP de Microsoft.
VOIR: Comment travailler à domicile: Guide de l’IT pro sur le télétravail et le télétravail (TechRepublic Premium)
Dans la Q suivante &A, Jerry Gamblin, ingénieur principal en sécurité chez Kenna Security, et A.N. Ananth, directeur de la stratégie chez Netsurion, fournisseur de services de sécurité gérés, offre ses réflexions et ses conseils aux organisations qui utilisent RDP.
Quelles vulnérabilités et failles de sécurité les organisations doivent-elles connaître avec RDP ?
Gamblin: Comme toutes les vulnérabilités, il est important d’adopter une approche basée sur les risques et de prioriser les correctifs des vulnérabilités RDP qui ont connu des exploits publics armés comme CVE-2019-0708 (BlueKeep). Les vulnérabilités de correction sans exploits publics armés comme CVE-2020-0660 peuvent être maintenues en toute sécurité dans votre cadence de correction normale.
Ananth : Le RDP tel qu’implémenté dans les versions de Windows, y compris le serveur 2008/12 R2, 7, 8.1, 10, est connu vulnérable aux exploits décrits comme CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 et CVE-2019 – 1226. À la mi-2019, environ 800 millions d’utilisateurs étaient considérés comme vulnérables. Les exploits de ces vulnérabilités sont en vente sur les marchés criminels Web depuis 2018.
Les serveurs plus anciens, qui sont vulnérables, sont souvent corrigés à un cycle plus lent, ce qui prolonge la durée de vie de ces vulnérabilités. Les robots d’exploration du Web comme shodan.les e/s permettent aux attaquants d’identifier rapidement les machines vulnérables exposées au public. Dans le monde, plus de deux millions de systèmes sont exposés à Internet via RDP, dont plus de 500 000 aux États-Unis.
Comment les pirates et les cybercriminels tentent-ils de tirer parti des comptes et des connexions RDP?
Gamblin: Trouver et exploiter une vulnérabilité RDP sera la première étape d’une chaîne d’attaque qui serait probablement utilisée pour attaquer les magasins de données internes et les services d’annuaire pour pivoter vers un motif financier ou la capacité de perturber les opérations.
Ananth: Une tactique courante est le forçage brutal RDP, où les attaquants automatisent de nombreuses tentatives de connexion à l’aide d’informations d’identification communes, en espérant qu’une frappe. La seconde consiste à exploiter une vulnérabilité logicielle pour prendre le contrôle d’un serveur RDP. Par exemple, les attaquants pourraient exploiter BlueKeep (CVE-2019-0708) pour prendre le contrôle complet des serveurs RDP non corrigés d’un fournisseur de services gérés (MSP).
Un nouveau module dans Trickbot essaie spécifiquement de forcer brutalement les comptes RDP. Les attaques de logiciels malveillants Sodinokibi et GandCrab intègrent des modules RDP. Ryuk ransomware, qui a été particulièrement actif au 1T 2020, utilise RDP pour se propager latéralement une fois le pied initial acquis. L’attaque RobinHood contre la ville de Baltimore en mai 2019 et l’attaque SamSam contre la ville d’Atlanta en août 2018 sont des exemples d’attaques d’origine RDP.
Quelles options de sécurité les organisations devraient-elles mettre en place pour mieux se protéger contre les menaces pesant sur les comptes et les connexions RDP ?
Gamblin : Sans de nombreuses exceptions, toutes les instances RDP doivent nécessiter plusieurs niveaux de contrôle d’accès et d’authentification. Cela comprendrait l’utilisation d’un VPN pour accéder à une instance RDP et nécessiterait un deuxième facteur (comme Duo) pour l’authentification. Certaines grandes organisations placent RDP directement sur Internet, mais la plupart (espérons-le) le font sans le savoir. Vérifier cela est assez simple; lancez simplement votre scanner Internet préféré et regardez toutes les instances RDP directement exposées.
Ananth: Il existe des défenses intégrées et gratuites qui peuvent sécuriser RDP. Ceux-ci incluent:
- Correctifs : Gardez les serveurs particulièrement à jour.
- Mots de passe complexes: Utilisez également l’authentification à deux facteurs et implémentez des stratégies de verrouillage.
- Port par défaut: Changez le port par défaut utilisé par RDP de 3389 à autre chose via le Registre.
- Pare-feu Windows : Utilisez le pare-feu Windows intégré pour restreindre les sessions RDP par adresse IP.
- Authentification au niveau du réseau (NLA) : Activez NLA, qui n’est pas par défaut sur les anciennes versions.
- Limiter l’accès RDP : Limiter l’accès RDP à un groupe d’utilisateurs spécifique. N’autorisez aucun administrateur de domaine à accéder à RDP.
- Accès au tunnel RDP : Accès au tunnel via IPSec ou Secure Shell (SSH).
Cependant, même si vous avez pris toutes ces mesures de prévention et de durcissement, on ne peut pas garantir la sécurité. Surveiller l’utilisation du RDP. Recherchez un comportement anormal et observé pour la première fois. Une succession de tentatives infructueuses suivies d’une tentative réussie indique une estimation réussie du mot de passe par force brute. Une solution de Gestion des informations et des événements de sécurité (SIEM) dotée de capacités de corrélation efficaces peut rapidement identifier de telles tentatives.
Cybersecurity Insider Newsletter
Renforcez les défenses de sécurité informatique de votre organisation en vous tenant au courant des dernières nouvelles, solutions et meilleures pratiques en matière de cybersécurité. Livré les mardis et jeudis
Inscrivez-vous aujourd’hui
Voir également
- Dark Web: Une feuille de triche pour les professionnels (TechRepublic)
- Conférences et événements technologiques 2020 à ajouter à votre calendrier (PDF gratuit) (téléchargement TechRepublic)
- Pack de politiques: Éthique au travail (TechRepublic Premium)
- Travail à distance 101: Guide du professionnel sur les outils du métier (ZDNet)
- 5 meilleurs convertisseurs de bureau debout pour 2020 (CNET)
- Les 10 applications iPhone les plus importantes de tous les temps (Download.com )
- Historique de la technologie: Consultez notre couverture (TechRepublic sur Flipboard)