如何更好地保护您的Microsoft远程桌面协议连接
随着病毒在世界范围内的传播,越来越多的人选择在家工作作为一种远离社会的方式。但是远程工作者仍然需要尽其所能地工作。有时这意味着连接到公司内的工作站或服务器来执行关键任务。为此,许多使用Windows电脑的组织依赖于微软的远程桌面协议(RDP)。使用诸如远程桌面连接之类的内置工具,人们可以访问和使用远程机器。
多年来,RDP一直受到各种安全漏洞和障碍的打击。最值得注意的是,2019年出现了一个被称为BlueKeep的漏洞,它可能会让网络罪犯远程接管一台没有打过适当补丁的联网电脑。此外,黑客不断使用蛮力攻击来获取具有远程桌面访问权限的帐户的用户凭证。如果成功,他们就可以访问为该帐户设置的远程工作站或服务器。由于这些以及更多的原因,在使用Microsoft的RDP时,组织需要采取某些安全措施来保护自己。
参见:如何在家工作:IT专业人员的远程办公和远程工作指南(TechRepublic Premium)
在下面的问答中,Kenna security的首席安全工程师Jerry Gamblin和管理安全服务提供商Netsurion的首席战略官A.N. Ananth为使用RDP的组织提供了他们的想法和建议。
使用RDP时,组织应该注意哪些安全漏洞和缺陷?
Gamblin:与所有漏洞一样,重要的是采取基于风险的方法,优先修补已知的CVE-2019-0708 (BlueKeep)等武器化公共漏洞的RDP漏洞。补丁漏洞没有武器化的公共漏洞,如CVE-2020-0660是安全的,保持在正常的补丁节奏。
Ananth:在Windows版本(包括Server 2008/12 R2、7、8.1、10)中实现的RDP容易受到攻击,这些攻击被描述为CVE-2020-0609、CVE-2020-0610、CVE-2019-1181、CVE-2019-1182、CVE-2019-1222和CVE-2019-1226。截至2019年年中,约有8亿用户被认为是易受攻击的。自2018年以来,针对这些漏洞的攻击一直在网络犯罪市场上出售。
容易受到攻击的旧服务器通常会以较慢的周期打补丁,这就延长了这些漏洞的生命周期。像shodan这样的网络爬虫。io使得攻击者很容易快速识别易受攻击的面向公众的机器。在世界范围内,超过200万个系统通过RDP暴露在互联网上,其中超过50万个在美国。
黑客和网络罪犯如何试图利用RDP帐户和连接?
Gamblin:发现和利用RDP漏洞将是攻击链的第一步,攻击链可能用于攻击内部数据存储和目录服务,以财务动机或破坏操作能力为中心。
Ananth:一种常见的策略是RDP brute- force,攻击者使用通用凭证自动进行多次登录尝试,希望能命中一次。第二种方法涉及利用软件漏洞来获得对RDP服务器的控制。例如,攻击者可以利用BlueKeep (CVE-2019-0708)来获得对托管服务提供商(MSP)未打补丁的RDP服务器的完全控制。
一个新的模块在魔术师特别试图硬蛮的RDP帐户。Sodinokibi和gandcrabmalware攻击合并了RDP模块。Ryuk ransomware在1q2020尤为活跃,它利用RDP在获得初始立足点后进行横向传播。2019年5月针对巴尔的摩的罗宾汉袭击和2018年8月针对亚特兰大的萨姆萨姆袭击都是RDP发起的袭击。
组织应该采取哪些安全措施来更好地保护自己免受RDP帐户和连接的威胁?
Gamblin:没有很多异常,所有RDP实例都需要多级访问和身份验证控制。这将包括使用VPN访问RDP实例,并需要第二个因素(如Duo)进行身份验证。一些主要的组织将RDP直接放在internet上,但是大多数(希望如此)是在不知情的情况下进行的。检查这个非常简单;只需启动您最喜欢的internet范围的扫描程序,查看所有直接暴露的RDP实例。
Ananth:有一些内置的免费防御可以保护RDP。这些包括:
然而,即使你采取了所有这些预防和加固措施,也不能保证安全。监控RDP的利用率。寻找第一次看到的和异常的行为。连续失败的尝试和成功的尝试表示成功的蛮力密码猜测。具有有效关联功能的安全信息和事件管理(SIEM)解决方案可以快速查明此类尝试。
通过及时了解最新的网络安全新闻、解决方案和最佳实践,加强您的组织的IT安全防御。星期二和星期四送货