Способността на хакерите да използват почти всяка уязвимост представлява едно от най-големите предизвикателства пред правоприлагането - и за малките предприятия. Федералното бюро за разследване наскоро издаде предупреждение на бизнеса и другите за друга заплаха. Хакерите започнаха да използват протокола за отдалечен работен плот (RDP), за да извършват злонамерени дейности с по-голяма честота.
Според ФБР използването на протокол за отдалечен работен плот като вектор за атака се е увеличило от средата до края на 2016 г. Увеличаването на атаките с RDP отчасти се дължи на тъмните пазари, които продават протокол за отдалечен работен плот. Тези лоши участници са намерили начини, по които да идентифицират и използват уязвимите сесии на ПРСР по интернет.
$config[code] not foundЗа малките фирми, които използват RDP за дистанционно управление на домашните или офис компютрите, е необходима по-голяма бдителност, включително прилагане на стабилни пароли и редовното им променяне.
В съобщението си ФБР предупреждава: "Атаките, използващи протокола RDP, не изискват въвеждане от потребителя, което прави проникването трудно за откриване."
Какво е протокол за отдалечен работен плот?
Проектиран за отдалечен достъп и управление, RDP е метод на Microsoft за опростяване на трансфера на данни между клиенти, устройства, виртуални десктопи и терминален сървър за отдалечен работен плот.
Просто казано, RDP ви позволява да управлявате компютъра си отдалечено, за да управлявате ресурсите си и да имате достъп до данни. Тази функция е важна за малките предприятия, които не използват изчислителни облаци и използват компютри или сървъри, инсталирани на място.
Това не е първият път, в който ПРСР е представил въпроси, свързани със сигурността. В миналото, ранните версии имаха уязвимости, които ги правеха податливи на атака „човек в средата“, който даваше на атакуващите неразрешен достъп.
Между 2002 и 2017 Microsoft издаде актуализации, които отстраниха 24 основни уязвимости, свързани с протокола за отдалечен работен плот. Новата версия е по-сигурна, но изявлението на ФБР сочи, че хакерите все още го използват като вектор за атаки.
Хакване на протоколи от отдалечен работен плот: уязвимостите
ФБР идентифицира няколко уязвимости - но всичко започва със слаби пароли.
Агенцията казва, че ако използвате думи от речника и не включвате комбинация от главни и малки букви, цифри и специални символи, паролата ви е уязвима за груби и речникови атаки.
Остарелият протокол за отдалечен работен плот, използващ протокола за поддръжка на Credential Security Supporter (CredSSP), също представя уязвимости. CredSSP е приложение, което делегира потребителските идентификационни данни от клиента на целевия сървър за отдалечено удостоверяване. Остарялата RDP дава възможност за потенциално стартиране на атаки от човек в средата.
Други уязвимости включват разрешаване на неограничен достъп до портовете по подразбиране за протокол за отдалечен работен плот (TCP 3389) и разрешаване на неограничени опити за влизане.
Хакване на протоколи от отдалечен работен плот: заплахи
Това са някои примери за заплахите, изброени от ФБР:
CrySiS Ransomware: CrySIS рансъмуерът е насочен главно към американските компании чрез отворени портове на RDP, като използва атаки с груба сила и речници, за да получи неоторизиран отдалечен достъп. CrySiS след това пуска своя рансъмуер в устройството и го изпълнява. Участниците в заплахата изискват плащане в Bitcoin в замяна на ключ за декриптиране.
CryptON Ransomware: CryptON ransomware използва атаки с груба сила, за да получи достъп до RDP сесиите, след което позволява на актьора на заплаха ръчно да изпълнява злонамерени програми на компрометираната машина. Кибер-участниците обикновено изискват от Биткойн в замяна на указания за декриптиране.
Samsam Ransomware: Рансъмуерът на Samsam използва широк спектър от подвизи, включително атакуващите RDP машини, за извършване на атаки с груба сила. През юли 2018 г. актьорите на Самсам използваха груба атака срещу пълномощията за вход в RDP, за да проникнат в здравна компания. Ransomware е в състояние да криптира хиляди машини преди откриване.
Dark Web Exchange: Участниците в заплахата купуват и продават откраднати идентификационни данни за вход в RDP в Dark Web. Стойността на идентификационните данни се определя от местоположението на компрометираната машина, използвания софтуер в сесията и всякакви допълнителни атрибути, които увеличават използваемостта на откраднатите ресурси.
Хакване на протоколи от отдалечен работен плот: Как можете да се защитите?
Важно е да запомните всеки път, когато се опитате да получите достъп до нещо отдалечено, съществува риск. И тъй като протоколът за отдалечен работен плот напълно контролира дадена система, трябва да регулирате, наблюдавате и управлявате кой има близък достъп.
Чрез прилагането на следните най-добри практики, ФБР и американското министерство на вътрешната сигурност казват, че имате по-голям шанс срещу атаки, базирани на ПРР.
- Активирайте силни пароли и правила за блокиране на профила, за да се защитите от атаки с груба сила.
- Използвайте двуфакторно удостоверяване.
- Редовно прилагайте системни и софтуерни актуализации.
- Имате надеждна стратегия за архивиране със силна система за възстановяване.
- Активиране на регистрирането и осигуряване на механизми за регистриране, за да се отразят влизанията в протокола за отдалечен работен плот. Съхранявайте дневниците за минимум 90 дни. В същото време прегледайте данните за вход, за да се уверите, че ги използват само лица с достъп.
Можете да разгледате останалите препоръки тук.
Заглавията на нарушенията на данните са редовно в новините и се случват с големи организации с привидно неограничени ресурси. Въпреки че може да изглежда невъзможно да защитите малкия си бизнес от всички кибернетични заплахи, можете да намалите риска и отговорността си, ако имате правилните протоколи със строго управление за всички страни.
Снимка: ФБР