Sikkerhedsrisici ved RDP

Hvad er RDP?

RDP, eller Remote Desktop Protocol, er en af ​​de vigtigste protokoller, der bruges til fjernskrivebordssessioner. Det er, når medarbejdere får adgang til deres kontorskrivebord fra en anden enhed. RDP er inkluderet i de fleste Windows-operativsystemer og kan også bruges med Mac'er. Mange virksomheder er afhængige af RDP for at gøre det muligt for deres medarbejdere at arbejde hjemmefra.

RDP (Remote Desktop Protocol) er en af ​​de vigtigste protokoller, der bruges til fjernskrivebordssessioner

Hvad er de vigtigste RDP-sikkerhedssårbarheder?

Sårbarheder er fejl i den måde, et stykke software er bygget på, hvilket giver angribere mulighed for at få uautoriseret adgang. Tænk på dette som en forkert installeret lås på hoveddøren til et hjem, der tillader kriminelle at få adgang.

Disse er de vigtigste sårbarheder i RDP:

1. Svage brugeroplysninger

De fleste stationære computere er beskyttet med adgangskode, og brugere kan normalt indstille dette til, hvad de vil. Problemet er, at brugere ofte også bruger den samme adgangskode til RDP-fjernlogin. Virksomheder administrerer typisk ikke disse adgangskoder for at sikre deres styrke, og de lader ofte disse fjernforbindelser stå åbne for Brute Force eller Credential Stuffing -angreb .

• Oversigt over, hvordan du opretter stærke adgangskoder og administrerer adgangskoder på den sikreste måde

2. Ubegrænset portadgang

RDP-forbindelser foregår næsten altid på port 3389*. Angribere kunne antage, at dette er den havn, der bruges, og målrette den til at udføre angreb.

* I et netværk er en gateway en logisk, softwarebaseret placering, der er tildelt bestemte typer forbindelser. At tildele forskellige processer til forskellige porte hjælper computeren med at holde styr på disse processer. For eksempel går HTTP-trafik altid til port 80, mens HTTPS- trafik går til port 443.

Hvad er nogle måder at løse disse RDP-sårbarheder på?

• For at reducere forekomsten af ​​svage legitimationsoplysninger:

Single Sign-On (SSO)

Mange virksomheder har brugt SSO-tjenester til at administrere brugerloginoplysninger til forskellige applikationer. SSO giver virksomheder en nemmere måde at håndhæve brugen af ​​stærke adgangskoder, samt implementere mere sikre foranstaltninger såsom to-faktor autentificering (2FA) . RDP-fjernadgang kan flyttes bag SSO-processen for at løse brugerlogon-sårbarheden beskrevet ovenfor.

Adgangskodehåndtering og håndhævelse

For nogle virksomheder er det muligvis ikke en mulighed at flytte RDP-fjernadgang bag SSO-processen. Disse virksomheder bør som minimum kræve, at medarbejderne nulstiller deres desktop-adgangskoder til noget stærkere.

• For at beskytte mod portbaserede angreb:

Lås port 3389

Sikker tunneling-software kan hjælpe med at forhindre angribere i at sende anmodninger til port 3389. Med en sikker tunneling vil alle anmodninger, der ikke går gennem tunnelen, blive blokeret.

Firewall regler

Virksomhedens firewall kan konfigureres manuelt, så ingen trafik på port 3389 kan passere igennem, undtagen trafik fra tilladte IP-adresseområder (f.eks. enheder, der vides at tilhøre medarbejderen).

Denne metode kræver dog en masse manuel indsats og er stadig sårbar, hvis angribere kaprer autoriserede IP-adresser eller medarbejderens enheder kompromitteres. Derudover er det ofte svært at identificere og aktivere alle medarbejderens enheder på forhånd, hvilket fører til konstante it-anmodninger fra blokerede medarbejdere.

RDP har også en række andre sårbarheder, og de fleste af disse kan elimineres ved altid at bruge den nyeste version af protokollen.

Hvilke andre sårbarheder har RDP?

RDP har andre tekniske sårbarheder, der er blevet teknisk rettet, men som forbliver alvorlige, hvis de ikke er markeret.

En af de mest alvorlige sårbarheder i RDP kaldes "BlueKeep". BlueKeep (officielt klassificeret som CVE-2019-0708) er en sårbarhed, der gør det muligt for angribere at udføre enhver kode, de ønsker på en computer, hvis de sender en specialudformet anmodning til den korrekte port (normalt er 3389). BlueKeep er ormelig , hvilket betyder, at den kan spredes til alle computere i netværket uden nogen handling fra brugeren.

Den bedste beskyttelse mod denne sårbarhed er at deaktivere RDP, medmindre det er nødvendigt. Blokering af port 3389 ved hjælp af en firewall kan også hjælpe. Endelig udgav Microsoft en patch, der fikser denne sårbarhed i 2019, og det er vigtigt for systemadministratorer at installere denne patch.

Som ethvert andet program eller protokol har RDP også nogle andre sårbarheder, og de fleste af disse sårbarheder kan elimineres ved altid at bruge den nyeste version af protokollen. Leverandører retter ofte sårbarheder i hver ny softwareversion, de frigiver.