Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet skanning RDP

Information om skanningar av RDP-protokollet

Ökning av skanningar och attacker mot Remote Desktop Protocol (RDP)

Vad har hänt?

Fjärradministrationssystem, som till exempel Remote Desktop Protocol, som angreppsvektor har ökat sedan mitten av 2016. Antagonister har utvecklat metoder att identifiera och utnyttja sårbara RDP-sessioner över internet för att komma åt identiteter, inloggningsuppgifter samt annan känslig information.

CERT-SE har vid skanningar upptäckt att det i Sverige finns över 10000 adresser som svarar på RDP-anrop på port TCP/3389.

Sårbarheter

  • Svaga lösenord - lösenord som innehåller ord, inte uppfyller krav på komplexitet eller längd - är sårbara för bruteforce [1]
  • Utdaterade versioner av RDP kan innehålla den trasiga CredSSP, krypteringsmekanismen, vilket kan leda till en man-in-the-middle-angrepp [2]
  • Tillåta obehindrad åtkomst till RDP-porten (TCP/3389)
  • Tillåta obegränsade inloggningsförsök till användarkonton

Exempel på hot

  • CrySiS Ransomware: CrySIS riktar sig primärt mot företag som har öppna RDP-portar genom att köra både bruteforce- och ordlisteangrepp för att få obehörig fjärråtkomst. CrySIS planterar sedan sin skadliga kod och exekverar den vilket medför att data på den drabbade maskinen blir krypterad och oåtkomlig. Antagonisterna begär sedan betalning i t.ex. Bitcoin för dekrypteringsnyckeln. [3]

  • CryptON Ransomeware: CryptON använder sig av bruteforce för att få tillgång till RDP-sessioner vilket sedan leder till att antagonisten manuellt exekverar den skadliga koden på den komprometterade maskinen. Antagonisterna begär sedan betalning i t.ex. Bitcoin för dekrypteringsnyckeln. [4]

  • Samsam Ransomware: Samsam använder en stor variation av sårbarheter, varav en är att angripa maskiner med RDP påslaget, för att utföra bruteforce-angrepp. Detta ransomware har under 2018 orsakat stor skada hos företag och myndigheter runt om i världen. [5]

  • Dark Web Exchange: Antagonister köper och säljer stulna RDP-inloggningsuppgifter på Dark Web. Värdet av inloggningsuppgifterna bedöms efter geografisk plats av den komprometterade maskinen, vilka programvaror som finns att tillgå i sessionen samt andra attribut som kan användas av en antagonist.

Rekommendationer

Att använda RDP-protokollet på internet innebär en risk. Detta eftersom RDP kan ge tillgång till hela systemet; användande av detta bör där med vara noga reglerat, övervakat och kontrollerat. CERT-SE, precis som, FBI och DHS har följande rekomendationer för att minska riskerna för RDP-baserade angrepp:

  • Gör regelbundna granskningar av nätverket för att identifiera system som använder RDP för fjärradministration
  • Slå av RDP-tjänsten där den inte används eller behövs och se till att senaste uppdateringarna installeras
  • Kontrollera alla maskiner med publika IP-adresser, speciellt molnbaserade virtuella maskiner, att de inte har öppna RDP-portar, speciellt port TCP/3389, om det inte finns en väldigt specifik anledning
  • Placera alla system med öppen RDP-port bakom en brandvägg och ha som krav att det endast går att ansluta via VPN
  • Använd endast starka lösenord och se till att kontot låses efter tre misslyckade inloggningsförsök. Detta för att försvåra ett eventuellt bruteforce-angrepp
  • Använd flerfaktorsinloggning där möjlighet finns
  • Se till att hålla alla system och mjukvaror uppdaterade
  • Se till att ha fungerande backup med regelbundna återläsningtester
  • Slå på loggning av RDP-trafik och gå igenom dessa regelbundet för att upptäcka intrångsförsök
  • Vid skapande av molnbaserade virtuella maskiner, följ molnleverantörens rekomendationer för fjärradministration
  • Tillse att tredje part som behöver RDP-åtkomst följer de interna rekommendationer och kraven för färradministration
  • Minimera nätverksexponeringen för alla systemkomponenter. Där möjligt bör RDP vara avstängt för kritiska system
  • Reglera och minimera RDP-trafik från externt nät till internt nät. När detta absolut behövs, använd endast säkra metoder som t.ex. VPN, vid uppkoppling

Källor

[1] https://www.dinsakerhet.se/sakrare-hemma/skydda-din-information/sakra-dina-losenord/
[2] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
[3] https://www.2-spyware.com/remove-crysis-ransomware-virus.html
[4] https://www.2-spyware.com/remove-crypton-ransomware-virus.html
[5] https://www.2-spyware.com/remove-samsam-ransomware-virus.html