hoe kunt u uw Microsoft Remote Desktop Protocol verbindingen beter beveiligen
nu het coronavirus zich over de hele wereld verspreidt, werken meer mensen vanuit huis als een manier om sociale afstand te beoefenen. Maar werknemers op afstand moeten hun werk nog steeds zo goed mogelijk doen. Soms betekent dat verbinding maken met een werkstation of server binnen het bedrijf om belangrijke taken uit te voeren. En daarvoor vertrouwen veel organisaties met Windows-computers op Microsoft ‘ s Remote Desktop Protocol (RDP). Met behulp van dergelijke ingebouwde tools als Remote Desktop Verbinding, mensen kunnen toegang krijgen tot en werken met externe machines.
RDP is door de jaren heen door verschillende veiligheidslekken en-obstakels getroffen. Meest in het bijzonder, 2019 gaf aanleiding tot een kwetsbaarheid bekend als BlueKeep die cybercriminelen kunnen toestaan om op afstand over te nemen van een aangesloten PC die niet goed is gepatcht. Verder, hackers voortdurend gebruik maken van brute kracht aanvallen om te proberen om de gebruikersgegevens van accounts die extern bureaublad toegang hebben te verkrijgen. Als ze succesvol zijn, kunnen ze toegang krijgen tot de externe werkstations of servers die voor dat account zijn ingesteld. Om deze redenen en meer, organisaties nodig hebben om bepaalde beveiligingsmaatregelen te nemen om zichzelf te beschermen bij het gebruik van Microsoft ‘ s RDP.
zie: How to work from home: it pro ‘ s guidebook to telewerken en werken op afstand (TechRepublic Premium)
in de volgende Q&A, Jerry Gamblin, principal security engineer bij Kenna Security, en A. N. Ananth, chief strategy officer bij managed security service provider Netsurion, geeft hun gedachten en advies aan organisaties die RDP gebruiken.
welke beveiligingsproblemen en gebreken moeten organisaties zich bewust van met RDP?
Gamblin: net als alle kwetsbaarheden is het belangrijk om een risicogebaseerde aanpak te volgen en prioriteit te geven aan patching RDP-kwetsbaarheden die bekend zijn als een wapen van publieke exploits zoals CVE-2019-0708 (BlueKeep). Patchen kwetsbaarheden zonder wapens publieke exploits zoals CVE-2020-0660 zijn veilig te houden in uw normale patching cadans.
Ananth: RDP zoals geïmplementeerd in versies van Windows, met inbegrip van Server 2008/12 R2, 7, 8.1, 10, zijn bekend kwetsbaar voor exploits beschreven als CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, en CVE-2019-1226. Vanaf medio 2019 werden ongeveer 800 miljoen gebruikers als kwetsbaar beschouwd. Exploits voor deze kwetsbaarheden zijn te koop op web criminele marktplaatsen sinds 2018.
oudere servers, die kwetsbaar zijn, worden vaak in een tragere cyclus gepatched, en dit verlengt de levensduur van dergelijke kwetsbaarheden. Webcrawlers zoals shodan.io maken het gemakkelijk voor aanvallers om snel kwetsbare openbare machines te identificeren. Wereldwijd worden meer dan twee miljoen systemen via RDP aan internet blootgesteld, waarvan meer dan 500.000 in de VS.
hoe proberen hackers en cybercriminelen te profiteren van RDP-accounts en-verbindingen?
Gamblin: het vinden en exploiteren van een RDP-kwetsbaarheid is de eerste stap in een aanvalsketen die waarschijnlijk wordt gebruikt om interne gegevensopslag en directorydiensten aan te vallen om te draaien naar een financieel motief of de mogelijkheid om operaties te verstoren.
Anant: Een veel voorkomende tactiek is RDP brute-forcing, waar aanvallers automatiseren veel inlogpogingen met behulp van gemeenschappelijke referenties, in de hoop dat een hits. De tweede betreft het benutten van een software kwetsbaarheid om de controle over een RDP-server te krijgen. Bijvoorbeeld, aanvallers kunnen bluekeep exploiteren (CVE-2019-0708) om volledige controle over een managed service provider (MSP) ongepatchte RDP-servers te krijgen.
een nieuwe module in Trickbot probeert specifiek RDP-accounts te forceren. De Sodinokibi en GandCrab malware aanvallen nemen RDP modules. Ryuk ransomware, die vooral actief is geweest in 1Q 2020, maakt gebruik van RDP zijdelings te verspreiden na de eerste voet aan de grond wordt gewonnen. De RobinHood-aanval tegen de stad Baltimore in Mei 2019 en de SamSam-aanval tegen de stad Atlanta in augustus 2018 zijn voorbeelden van RDP-aanvallen.
welke beveiligingsopties moeten organisaties invoeren om zichzelf beter te beschermen tegen bedreigingen voor RDP-accounts en-verbindingen?
Gamblin: zonder veel uitzonderingen zouden alle RDP-instanties meerdere niveaus van toegangs-en authenticatiecontroles moeten vereisen. Dit omvat het gebruik van een VPN om toegang te krijgen tot een RDP-instantie en het vereisen van een tweede factor (zoals Duo) voor authenticatie. Sommige grote organisaties plaatsen RDP direct op het internet, maar de meeste (hopelijk) doen dit onbewust. Controleren op dit is vrij eenvoudig; gewoon het vuur van uw favoriete internet-brede scanner en kijk naar alle RDP instances direct blootgesteld.
Ananth: er zijn enkele ingebouwde, gratis verdedigingen die RDP kunnen beveiligen. Deze omvatten:
- Patching: houd servers vooral up-to-date.
- complexe wachtwoorden: Gebruik ook twee-factor authenticatie en implementeer vergrendelingsbeleid.
- standaardpoort: Verander de standaardpoort die door RDP wordt gebruikt van 3389 naar iets anders via het register.
- Windows firewall: gebruik de ingebouwde Windows firewall om RDP-sessies te beperken op IP-adres.
- network Level Authentication (NLA): schakel NLA in, wat niet standaard is voor oudere versies.
- RDP-toegang beperken: RDP-toegang beperken tot een specifieke gebruikersgroep. Laat geen domeinbeheerder toegang krijgen tot RDP.
- Tunnel RDP-toegang: Tunneltoegang via IPSec of Secure Shell (SSH).
echter, zelfs als u al deze preventie-en verhardingsstappen hebt genomen, kan men de veiligheid niet garanderen. Monitor RDP gebruik. Kijk voor het eerst gezien en afwijkend gedrag. Een opeenvolging van mislukte pogingen gevolgd door een succesvolle poging geeft succesvolle brute kracht wachtwoord raden. Een Siem-oplossing (Security Information and Event Management) met effectieve correlatiemogelijkheden kan dergelijke pogingen snel lokaliseren.
Cybersecurity Insider nieuwsbrief
Versterk de IT-beveiliging van uw organisatie door op de hoogte te blijven van het laatste nieuws, oplossingen en best practices op het gebied van cybersecurity. Dinsdag en donderdag
Meld u vandaag nog aan
zie ook
- Dark Web: a cheat sheet for professionals (TechRepublic)
- 2020 Tech conferences and events to add to your agenda (gratis PDF) (TechRepublic download)
- Policy pack: Werkplekethiek (TechRepublic Premium)
- Remote working 101: Professional ‘ s guide to the tools of the trade (ZDNet)
- 5 best standing desk converters for 2020 (CNET)
- de 10 belangrijkste iPhone-apps aller tijden (Download.com)
- Tech history: Bekijk onze dekking (TechRepublic op Flipboard)