Hackers förmåga att utnyttja nästan varje sårbarhet utgör en av de största utmaningarna för brottsbekämpning - och till småföretag. Federal Bureau of Investigation nyligen utfärdat en varning till företag och andra om ett annat hot. Hackers har börjat utnyttja Remote Desktop Protocol (RDP) för att utföra skadliga aktiviteter med större frekvens.
Enligt FBI har användningen av Fjärrskrivbordsprotokollet som en attackvektor ökat sedan mitten till slutet av 2016. Ökningen av RDP-attacker har delvis drivits av mörka marknader som säljer åtkomst till fjärrskrivbordsprotokoll. Dessa dåliga aktörer har funnit sätt att identifiera och utnyttja sårbara RDP-sessioner via Internet.
$config[code] not foundFör småföretag som använder RDP för att styra sina hem- eller kontorsdatorer på distans krävs mer vaksamhet, inklusive att implementera starka lösenord och ändra dem regelbundet.
I sitt tillkännagivande varnar FBI: "Anfall som använder RDP-protokollet kräver inte användarinmatning, vilket gör intrång svår att upptäcka."
Vad är Remote Desktop Protocol?
Utformad för fjärråtkomst och hantering är RDP en Microsoft-metod för att förenkla överföring av dataöverföringar mellan klientanvändare, enheter, virtuella skrivbord och en terminalserver för fjärrskrivbordsprotokoll.
Enkelt sagt, med RDP kan du styra datorn på distans för att hantera dina resurser och få tillgång till data. Den här funktionen är viktig för småföretag som inte använder cloud computing och är beroende av sina datorer eller servrar installerade på lokaler.
Det här är inte första gången RDP har presenterat säkerhetsproblem. Tidigare versioner hade sårbarheter som gjorde dem mottagliga för en man-i-mitten attack som gav angripare obehörig åtkomst.
Mellan 2002 och 2017 utfärdade Microsoft uppdateringar som fastställde 24 stora sårbarheter relaterade till fjärrskrivbordsprotokoll. Den nya versionen är säkrare, men FBI-meddelandet pekar på att hackare fortfarande använder det som en vektor för attacker.
Fjärrskrivbordsprotokoll Hacking: Sårbarheterna
FBI har identifierat flera sårbarheter - men allt börjar med svaga lösenord.
Byrån säger att om du använder ordlistor och du inte innehåller en kombination av versaler och små bokstäver, siffror och specialtecken, är ditt lösenord sårbart för brute-force och ordbokattacker.
Föråldrat fjärråtkomstprotokoll med hjälp av CredentialPress Security Security Provider-protokollet (CredSSP) presenterar också sårbarheter. CredSSP är en applikation som delegerar användarens referenser från klienten till målservern för fjärrautentisering. En föråldrad RDP gör det möjligt att eventuellt starta man-i-mitten attacker.
Andra sårbarheter inkluderar att tillåta obegränsad åtkomst till standardporten för fjärrskrivbordsprotokoll (TCP 3389) och tillåter obegränsat inloggningsförsök.
Fjärrskrivbordsprotokoll Hacking: Hot
Det här är några exempel på de hot som listats av FBI:
CrySiS Ransomware: CrySIS ransomware riktar sig främst till amerikanska företag genom öppna RDP-portar, med hjälp av både brute-force och dictionary attacker för att få obehörig fjärråtkomst. CrySiS släpper sedan sin ransomware på enheten och kör den. Hotaktörerna kräver betalning i Bitcoin i utbyte mot en dekrypteringsnyckel.
CryptON Ransomware: CryptON ransomware använder brutna våldsattacker för att få tillgång till RDP-sessioner och låter sedan en hotteaktör manuellt genomföra skadliga program på den kompromisserade maskinen. Cyberaktörer begär typiskt Bitcoin i utbyte mot dekrypteringsanvisningar.
Samsam Ransomware: Samsam ransomware använder ett brett spektrum av utnyttjanden, inklusive de attackerande RDP-aktiverade maskinerna, för att utföra brutala kraftattacker. I juli 2018 använde Samsam hot aktörer en brute-force attack på RDP login credentials att infiltrera ett sjukvårdsföretag. Ransomware kunde kryptera tusentals maskiner före detektering.
Dark Web Exchange: Hot aktörer köper och säljer stulna RDP login credentials på Dark Web. Värdet av legitimationsuppgifter bestäms av platsen för den kompromisserade maskinen, mjukvaran som används i sessionen och eventuella ytterligare attribut som ökar användbarheten för de stulna resurserna.
Remote Desktop Protocol Hacking: Hur kan du skydda dig själv?
Det är viktigt att komma ihåg när du försöker komma åt något på distans finns risk. Och eftersom fjärrskrivbordsprotokollet kontrollerar ett system helt, bör du reglera, övervaka och hantera vem som har tillgång till närhet.
Genom att implementera följande bästa praxis säger FBI och US Department of Homeland Security att du har en bättre chans mot RDP-baserade attacker.
- Aktivera starka lösenord och kontoutlåsningsprinciper för att försvara sig mot brutala våldsattacker.
- Använd tvåfaktors autentisering.
- Använd regelbundet system- och programuppdateringar.
- Ha en pålitlig backupstrategi med ett starkt återhämtningssystem.
- Aktivera loggning och säkerställa loggningsmekanismer för att fånga inloggningar för fjärrskrivbordsprotokoll. Förvara loggarna i minst 90 dagar. Titta samtidigt på loggarna för att se till att endast de som har tillgång till dem använder dem.
Du kan ta en titt på resten av rekommendationerna här.
Rubrikerna för dataöverträdelser är regelbundet i nyheterna och det händer för stora organisationer med till synes obegränsade resurser. Även om det kan tyckas omöjligt att skydda ditt lilla företag från alla cyberhots där ute, kan du minimera din risk och ansvar om du har rätt protokoll på plats med strikt styrning för alla parter.
Bild: FBI
