Možnost hackerů využívat téměř jakoukoli zranitelnost představuje jednu z největších výzev pro vymáhání práva - a pro malé podniky. Federální úřad pro vyšetřování nedávno varoval podniky a další o další hrozbě. Hackeři začali využívat protokol vzdálené plochy (Remote Desktop Protocol - RDP), aby častěji prováděli škodlivé aktivity.
Podle FBI se užívání protokolu Remote Desktop Protocol jako útokového vektoru zvýšilo od poloviny do konce roku 2016. Vzestup útoků RDP byl částečně veden tmavými trhy prodávajícími přístup k protokolu vzdálené plochy. Tito špatní aktéři našli způsoby, jak identifikovat a zneužívat zranitelné relace PRV přes internet.
$config[code] not foundPro malé podniky, které používají službu RDP k dálkovému ovládání svých domácích či kancelářských počítačů, je nutná větší pozornost, včetně zavedení silných hesel a jejich pravidelných změn.
Ve svém oznámení FBI varuje: "Útoky používající protokol RDP nevyžadují vstup uživatele, což je těžké detekovat narušení."
Co je protokol vzdálené plochy?
Navržen pro vzdálený přístup a správu, RDP je metoda Microsoft pro zjednodušení přenosu aplikačních dat mezi klienty, zařízeními, virtuálními desktopy a terminálovým serverem protokolu Remote Desktop Protocol.
Jednoduše řečeno, služba RDP umožňuje ovládat vzdáleně počítač a řídit tak vaše zdroje a přístup k datům. Tato funkce je důležitá pro malé podniky, které nepoužívají cloud computing a spoléhají se na své počítače nebo servery nainstalované v areálu.
Není to poprvé, kdy služba PRV představila bezpečnostní problémy. V minulosti měly rané verze zranitelnosti, které je činily náchylné k útoku člověka uprostřed, který útočníkům umožnil neoprávněný přístup.
Mezi lety 2002 a 2017 společnost Microsoft vydala aktualizace, které stanovily 24 hlavních zranitelných míst souvisejících s protokolem Vzdálená plocha. Nová verze je bezpečnější, ale oznámení FBI upozorňuje, že hackeři ji stále používají jako vektor pro útoky.
Hackování protokolu vzdálené plochy: Zranitelnosti
FBI zjistila několik zranitelností - ale začíná se slabými hesly.
Agentura říká, že pokud používáte slovníkové slovní spojení a nezahrňujete kombinace velkých a malých písmen, čísel a speciálních znaků, vaše heslo je zranitelné vůči brutální síle a útokům slovníku.
Zastaralé chyby představují zastaralý protokol vzdálené plochy pomocí protokolu Credential Security Support Provider (CredSSP). CredSSP je aplikace, která deleguje pověření uživatele z klienta na cílový server pro vzdálené ověřování. Zastaralá PRV umožňuje potenciální zahájení útoků typu "man-in-the-middle".
Další zranitelnosti zahrnují neomezený přístup k výchozímu protokolu protokolu vzdálené plochy (TCP 3389) a neomezené pokusy o přihlášení.
Hackování protokolů vzdálené plochy: Hrozby
Toto jsou některé příklady hrozeb uvedených FBI:
CrySiS Ransomware: CrySIS ransomware se primárně zaměřuje na americké podniky prostřednictvím otevřených portů RDP, a to jak s použitím útoků brute-force, tak pomocí slovníku, aby získali neoprávněný vzdálený přístup. CrySiS poté svůj výpůjček upustí na zařízení a provede jej. Hrozba účastníci požadují platbu v Bitcoin výměnou za dešifrovací klíč.
CryptON Ransomware: CryptON ransomware využívá útoky brute-force, aby získal přístup k RDP relacím, a pak umožňuje herci hrozeb ručně spustit škodlivé programy na kompromitovaném počítači. Kyberní herci obvykle požadují Bitcoin výměnou za dešifrovací směry.
Samsam Ransomware: Samsam ransomware využívá širokou škálu exploitů, včetně těch, které útočí na stroje s technologií RDP, a provádí útoky na hrubou sílu. V červenci 2018 použili herci hrozby společnosti Samsam brutální útok na přihlašovací údaje RDP k infiltraci zdravotnické společnosti. Ransomware dokázal šifrovat tisíce strojů před detekcí.
Dark Web Exchange: Hrozba herci nakupují a prodávají odcizené přihlašovací údaje RDP na Dark Web. Hodnota pověření je určena umístěním kompromitovaného počítače, softwaru používaného v relaci a dalšími atributy, které zvyšují použitelnost ukradených prostředků.
Vzdálená plocha protokolu Hacking: Jak se můžete chránit?
Je důležité si uvědomit, že kdykoli se pokusíte přistupovat k něčemu vzdáleně, existuje riziko. A protože protokol Vzdálená plocha plně řídí systém, měli byste regulovat, sledovat a řídit, kdo má úzce přístup.
Provedením následujících osvědčených postupů tvrdí FBI a Ministerstvo vnitřní bezpečnosti USA, že máte větší šanci proti útokům založeným na RDP.
- Aktivujte silná hesla a zásady uzamčení účtů, abyste se bránili útokům na hrubou sílu.
- Použijte dvoufaktorovou autentizaci.
- Pravidelně používejte aktualizace systému a softwaru.
- Mějte spolehlivou strategii zálohování se silným systémem obnovy.
- Povolte protokolování a zajistěte mechanismy protokolování pro zachycení protokolů protokolu vzdálené plochy. Uchovávejte protokoly po dobu minimálně 90 dnů. Současně kontrolujte přihlašovací údaje, abyste zajistili, že s nimi budou používat pouze ti, kteří mají přístup.
Můžete se podívat na ostatní doporučení zde.
Nadpisy o zpřístupňování údajů jsou v zpravodajství pravidelně a děje se velkým organizacím, které mají zdánlivě neomezené zdroje. Zatímco se může zdát nemožné chránit váš malý podnik před všemi kybernetickými hrozbami, můžete minimalizovat riziko a odpovědnost, pokud máte správné protokoly zavedené s přísným řízením pro všechny strany.
Obrázek: FBI
