• Articles
• admin

med coronavirus som sprider sig över hela världen arbetar fler människor hemifrån som ett sätt att öva social distansering. Men fjärrarbetare behöver fortfarande göra sina jobb efter bästa förmåga. Ibland innebär det att ansluta till en arbetsstation eller server inom företaget för att utföra viktiga uppgifter. Och för det är många organisationer med Windows-datorer beroende av Microsofts Remote Desktop Protocol (RDP). Med hjälp av sådana inbyggda verktyg som fjärrskrivbordsanslutning kan människor komma åt och arbeta med fjärrmaskiner.

RDP har drabbats av olika säkerhetshål och hinder genom åren. Framför allt gav 2019 upphov till en sårbarhet som kallas BlueKeep som kan göra det möjligt för cyberbrottslingar att fjärransluta en ansluten dator som inte är korrekt patchad. Vidare använder hackare kontinuerligt brute force-attacker för att försöka få användaruppgifterna för konton som har fjärrskrivbordsåtkomst. Om de lyckas kan de sedan få tillgång till de fjärrarbetsstationer eller servrar som är inställda för det kontot. Av dessa skäl och mer måste organisationer vidta vissa säkerhetsåtgärder för att skydda sig när de använder Microsofts RDP.

se: hur man arbetar hemifrån: IT pros guidebok till distansarbete och fjärrarbete (TechRepublic Premium)

i följande Q& a, Jerry Gamblin, huvudsäkerhetsingenjör vid Kenna Security och A. N. Ananth, Chief strategy officer på managed security Service provider Netsurion, erbjuder sina tankar och råd för organisationer som använder RDP.

vilka säkerhetsproblem och brister bör organisationer vara medvetna om med RDP?

Gamblin: liksom alla sårbarheter är det viktigt att ta ett riskbaserat tillvägagångssätt och prioritera patchning av RDP-sårbarheter som har känt vapenförsedda offentliga exploater som CVE-2019-0708 (BlueKeep). Patching sårbarheter utan weaponized offentliga exploits som CVE-2020-0660 är säkra att hålla i din normala patching kadens.

Ananth: RDP som implementerat i versioner av Windows, inklusive Server 2008/12 R2, 7, 8.1, 10, är kända sårbara för exploater som beskrivs som CVE-2020-0609, CVE-2020-0610, CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 och CVE-2019-1226. Från och med mitten av 2019 ansågs cirka 800 miljoner användare vara sårbara. Utnyttjanden för dessa sårbarheter har varit till försäljning på webbkriminella marknadsplatser sedan 2018.

äldre servrar, som är sårbara, patchas ofta i en långsammare cykel, och detta förlänger livslängden för sådana sårbarheter. Sökrobotar som shodan.io gör det enkelt för angripare att snabbt identifiera utsatta offentliga maskiner. Över hela världen utsätts mer än två miljoner system för internet via RDP, varav mer än 500 000 är i USA.

hur försöker hackare och cyberbrottslingar dra nytta av RDP-konton och anslutningar?

Gamblin: att hitta och utnyttja en RDP-sårbarhet kommer att vara det första steget i en attackkedja som sannolikt skulle användas för att attackera interna datalager och katalogtjänster för att svänga till antingen ett ekonomiskt motiv eller förmågan att störa verksamheten.

Ananth: En vanlig taktik är RDP brute-forcing, där angripare automatiserar många inloggningsförsök med vanliga referenser, hoppas en träffar. Den andra handlar om att utnyttja en mjukvarusårbarhet för att få kontroll över en RDP-server. Till exempel kan angripare utnyttja BlueKeep (CVE-2019-0708) för att få fullständig kontroll över en hanterad tjänsteleverantörs (MSP) unpatched RDP-servrar.

en ny modul i Trickbot försöker specifikt att brute-force RDP-konton. De sodinokibi och GandCrab malware attacker införliva RDP moduler. Ryuk ransomware, som har varit särskilt aktiv i 1Q 2020, använder RDP för att sprida sig i sidled efter det första fotfästet. RobinHood-attacken mot staden Baltimore i maj 2019 och SamSam-attacken mot staden Atlanta i augusti 2018 är exempel på RDP-attacker.

vilka säkerhetsalternativ bör organisationer införa för att bättre skydda sig mot hot mot RDP-konton och anslutningar?

Gamblin: utan många undantag bör alla RDP-instanser kräva flera nivåer av åtkomst-och autentiseringskontroller. Detta skulle inkludera användning av en VPN för att komma åt en RDP-instans och kräva en andra faktor (som Duo) för autentisering. Vissa stora organisationer placerar RDP direkt på internet, men de flesta (förhoppningsvis) gör detta omedvetet. Att kolla på detta är ganska enkelt; bara avfyra din favorit internetomfattande skanner och titta på alla RDP-instanser som är direkt exponerade.

Ananth: det finns några inbyggda, kostnadsfria försvar som kan säkra RDP. Dessa inkluderar:

• Patching: Håll servrarna särskilt uppdaterade.
• komplexa lösenord: Använd också tvåfaktorsautentisering och implementera lockout-policyer.
• standardport: ändra standardporten som används av RDP från 3389 till något annat via registret.
• Windows-brandväggen: använd den inbyggda Windows-brandväggen för att begränsa RDP-sessioner efter IP-adress.
• autentisering på nätverksnivå (nla): aktivera nla, som inte är standard i äldre versioner.
• begränsa RDP-åtkomst: begränsa RDP-åtkomst till en specifik användargrupp. Låt inte någon domänadministratör komma åt RDP.
• Tunnel RDP-åtkomst: Tunnelåtkomst via IPSec eller Secure Shell (SSH).

men även om du tog alla dessa förebyggande och härdande steg kan man inte garantera säkerheten. Övervaka RDP-användning. Leta efter första gången sett och avvikande beteende. En följd av misslyckade försök följt av ett framgångsrikt försök indikerar framgångsrik brute force lösenord gissa. En Siem-lösning (Security Information and Event Management) med effektiva korrelationsfunktioner kan snabbt hitta sådana försök.

se även

• Dark Web: ett fuskblad för proffs (TechRepublic)
• 2020 tekniska konferenser och evenemang att lägga till i din kalender (gratis PDF) (TechRepublic ladda ner)
• Policypaket: Arbetsplatsetik (TechRepublic Premium)
• fjärrarbete 101: professionell guide till verktygen för handeln (ZDNet)
• 5 bästa stående skrivbordskonverterare för 2020 (CNET)
• de 10 viktigaste iPhone-apparna hela tiden (Download.com)
• Tech historia: kolla in vår täckning (TechRepublic på blädderblock)