Het vermogen van hackers om vrijwel elke kwetsbaarheid te benutten, vormt een van de grootste uitdagingen voor wetshandhaving - en voor kleine bedrijven. Het Federal Bureau of Investigation heeft onlangs een waarschuwing afgegeven aan bedrijven en anderen over een andere bedreiging. Hackers zijn begonnen met het gebruik van Remote Desktop Protocol (RDP) om kwaadwillende activiteiten met grotere frequentie uit te voeren.
Volgens de FBI is het gebruik van Remote Desktop Protocol als aanvalsvector toegenomen sinds medio tot eind 2016. De toename van RDP-aanvallen is deels veroorzaakt door donkere markten die Remote Desktop Protocol-toegang verkopen. Deze slechte acteurs hebben manieren gevonden om kwetsbare RDP-sessies via internet te identificeren en te exploiteren.
$config[code] not foundVoor kleine bedrijven die RDP gebruiken om hun thuis- of kantoorcomputers op afstand te bedienen, is meer waakzaamheid vereist, inclusief het implementeren van sterke wachtwoorden en regelmatig wijzigen.
In de aankondiging waarschuwt de FBI: "Aanvallen die gebruikmaken van het RDP-protocol vereisen geen gebruikersinvoer, waardoor intrusies moeilijk te detecteren zijn."
Wat is Remote Desktop Protocol?
Ontworpen voor externe toegang en beheer, RDP is een Microsoft-methode voor het vereenvoudigen van de overdracht van applicatiegegevens tussen clientgebruikers, apparaten, virtuele desktops en een Terminal Desktop Protocol terminalserver.
Simpel gezegd: met RDP kunt u uw computer op afstand besturen om uw bronnen en toegang tot gegevens te beheren. Deze functie is belangrijk voor kleine bedrijven die geen gebruik maken van cloud computing en die afhankelijk zijn van hun computers of servers die op locatie zijn geïnstalleerd.
Dit is niet de eerste keer dat RDP beveiligingsproblemen presenteert. In het verleden hadden vroege versies kwetsbaarheden waardoor ze vatbaar werden voor een man-in-the-middle aanval die aanvallers ongeautoriseerde toegang gaf.
Tussen 2002 en 2017 heeft Microsoft updates uitgebracht die 24 belangrijke kwetsbaarheden gerelateerd aan Remote Desktop Protocol hebben opgelost. De nieuwe versie is veiliger, maar de FBI-aankondiging wijst erop dat hackers het nog steeds gebruiken als een vector voor aanvallen.
Remote Desktop Protocol-hacking: de kwetsbaarheden
De FBI heeft verschillende kwetsbaarheden geïdentificeerd - maar het begint allemaal met zwakke wachtwoorden.
Het bureau zegt dat als je woordenboekwoorden gebruikt en je geen combinatie van hoofdletters en kleine letters, cijfers en speciale tekens hebt, je wachtwoord kwetsbaar is voor brute force en woordenboekaanvallen.
Verouderde Remote Desktop Protocol met behulp van Credential Security Support Provider-protocol (CredSSP) vertonen ook kwetsbaarheden. De CredSSP is een toepassing die de legitimatiegegevens van de gebruiker delegeert van de client naar de doelserver voor externe verificatie. Een verouderde RDP maakt het mogelijk om man-in-the-middle-aanvallen mogelijk te lanceren.
Andere kwetsbaarheden zijn onder meer onbeperkte toegang tot de standaard Remote Desktop Protocol-poort (TCP 3389) toestaan en onbeperkte inlogpogingen toestaan.
Remote Desktop Protocol-hacking: bedreigingen
Dit zijn enkele voorbeelden van de bedreigingen zoals vermeld door de FBI:
CrySiS Ransomware: CrySIS ransomware richt zich voornamelijk op Amerikaanse bedrijven via open RDP-poorten, waarbij zowel brute force- als dictionary-aanvallen worden gebruikt om ongeautoriseerde toegang op afstand te verkrijgen. CrySiS laat vervolgens zijn ransomware op het apparaat vallen en voert het uit. De bedreigingsactoren eisen betaling in Bitcoin in ruil voor een ontsleutelingssleutel.
CryptON Ransomware: CryptON ransomware maakt gebruik van brute-force aanvallen om toegang te krijgen tot RDP-sessies en stelt een actor van een bedreiging vervolgens in staat om met de hand schadelijke programma's uit te voeren op de besmette computer. Cyberacteurs vragen typisch Bitcoin in ruil voor decryptierichtingen.
Samsam Ransomware: Samsam ransomware maakt gebruik van een breed scala aan exploits, waaronder aanvallen op RDP-compatibele machines, om brute-force aanvallen uit te voeren. In juli 2018 gebruikten dreigsters van Samsam een brute-kracht-aanval op RDP-inloggegevens om een gezondheidszorgbedrijf te infiltreren. De ransomware kon duizenden machines coderen voor detectie.
Dark Web Exchange: Bedreigingsactoren kopen en verkopen gestolen RDP inloggegevens op het Dark Web. De waarde van referenties wordt bepaald door de locatie van de besmette machine, de software die wordt gebruikt in de sessie en eventuele extra kenmerken die de bruikbaarheid van de gestolen bronnen vergroten.
Remote Desktop Protocol-hacking: hoe kunt u zichzelf beschermen?
Het is belangrijk om te onthouden dat wanneer u op afstand probeert toegang te krijgen, er een risico bestaat. En omdat Remote Desktop Protocol een systeem volledig bestuurt, moet u bepalen wie het beste toegang heeft.
Door de volgende beste werkwijzen toe te passen, zeggen de FBI en het Amerikaanse ministerie van Binnenlandse Veiligheid dat u een betere kans hebt tegen op RDP gebaseerde aanvallen.
- Sterke wachtwoorden en accountvergrendelingsbeleid inschakelen om te verdedigen tegen brute-force-aanvallen.
- Gebruik authenticatie met twee factoren.
- Systeem- en software-updates regelmatig toepassen.
- Beschik over een betrouwbare back-upstrategie met een sterk herstelsysteem.
- Schakel logboekregistratie in en zorg voor loggingmechanismen om aanmeldingen van Remote Desktop Protocol vast te leggen. Bewaar de logboeken minimaal 90 dagen. Bekijk tegelijkertijd de aanmeldingen om ervoor te zorgen dat alleen degenen met toegang deze gebruiken.
U kunt hier de rest van de aanbevelingen bekijken.
Koppen van inbreuken op gegevens zijn regelmatig in het nieuws en het gebeurt met grote organisaties met schijnbaar onbeperkte middelen. Hoewel het onmogelijk lijkt om uw kleine bedrijf te beschermen tegen alle cyberbedreigingen die er zijn, kunt u uw risico en aansprakelijkheid minimaliseren als u de juiste protocollen gebruikt met strikte governance voor alle partijen.
Afbeelding: FBI
