KPP saugumo rizikos

Kas yra KPP?

RDP arba Remote Desktop Protocol yra vienas iš pagrindinių protokolų, naudojamų nuotolinėms darbalaukio sesijoms. Tada darbuotojai pasiekia savo biuro darbalaukį iš kito įrenginio. KPP yra įtraukta į daugumą „Windows“ operacinių sistemų ir gali būti naudojama su „Mac“. Daugelis įmonių remiasi KPP, kad jų darbuotojai galėtų dirbti iš namų.

RDP (Remote Desktop Protocol) yra vienas iš pagrindinių protokolų, naudojamų nuotolinėms darbalaukio sesijoms.

Kokios yra pagrindinės KPP saugumo spragos?

Pažeidžiamumas yra programinės įrangos kūrimo būdo klaidos, leidžiančios užpuolikams gauti neteisėtą prieigą. Pagalvokite apie tai kaip apie netinkamai įmontuotą užraktą ant priekinių namų durų, leidžiančius nusikaltėliams patekti į vidų.

Tai yra svarbiausi KPP pažeidžiamumai:

1. Silpni vartotojo kredencialai

Dauguma stalinių kompiuterių yra apsaugoti slaptažodžiu, o vartotojai paprastai gali tai nustatyti kaip nori. Problema ta, kad vartotojai dažnai naudoja tą patį slaptažodį nuotoliniam KPP prisijungimui. Įmonės paprastai nevaldo šių slaptažodžių, kad užtikrintų jų stiprumą, ir dažnai palieka šiuos nuotolinius ryšius atvirus Brute Force arba Credential Stuffing atakoms .

• Santrauka, kaip sukurti stiprius slaptažodžius ir saugiausiai valdyti slaptažodžius

2. Neribota prieiga prie prievado

KPP ryšiai beveik visada vyksta per prievadą 3389*. Užpuolikai gali manyti, kad tai yra naudojamas uostas, ir nukreipti jį į atakas.

* Tinkle šliuzas yra logiška, programine įranga pagrįsta vieta, priskirta tam tikro tipo ryšiams. Skirtingų procesų priskyrimas skirtingiems prievadams padeda kompiuteriui sekti tuos procesus. Pavyzdžiui, HTTP srautas visada nukreipiamas į 80 prievadą, o HTTPS srautas į 443 prievadą.

Kokiais būdais galima pašalinti šias KPP spragas?

• Norėdami sumažinti silpnų kredencialų paplitimą:

Vienkartinis prisijungimas (SSO)

Daugelis įmonių naudojo SSO paslaugas, kad tvarkytų įvairių programų vartotojo prisijungimo informaciją. SSO įmonėms suteikia lengvesnį būdą priverstinai naudoti stiprius slaptažodžius, taip pat įdiegti saugesnes priemones, pvz., dviejų veiksnių autentifikavimą (2FA) . KPP nuotolinė prieiga gali būti perkelta už SSO proceso, kad būtų pašalintas aukščiau aprašytas vartotojo prisijungimo pažeidžiamumas.

Slaptažodžių valdymas ir vykdymas

Kai kurioms įmonėms KPP nuotolinės prieigos perkėlimas už SSO proceso gali būti netinkamas pasirinkimas. Šios įmonės turėtų reikalauti, kad darbuotojai iš naujo nustatytų savo darbalaukio slaptažodžius į stipresnius.

• Norėdami apsisaugoti nuo prievado atakų:

Užrakinti prievadą 3389

Saugi tuneliavimo programinė įranga gali padėti užkirsti kelią užpuolikams siųsti užklausų į 3389 prievadą. Naudojant saugų tunelį, visos užklausos, kurios nesiunčiamos per tunelį, bus užblokuotos.

Ugniasienės taisyklės

Įmonės užkardą galima sukonfigūruoti rankiniu būdu, kad per 3389 prievadą negalėtų praeiti joks srautas, išskyrus srautą iš leidžiamų IP adresų diapazonų (pavyzdžiui, įrenginių, kurie, kaip žinoma, priklauso darbuotojui).

Tačiau šis metodas reikalauja daug rankinių pastangų ir vis tiek yra pažeidžiamas, jei užpuolikai užgrobia įgaliotus IP adresus arba pažeidžiami darbuotojų įrenginiai. Be to, dažnai sunku iš anksto nustatyti ir įjungti visus darbuotojų įrenginius, todėl užblokuoti darbuotojai nuolat kreipiasi į IT užklausas.

RDP taip pat turi daug kitų pažeidžiamumų, ir daugumą jų galima pašalinti visada naudojant naujausią protokolo versiją.

Kokių kitų pažeidžiamumų turi RDP?

KPP turi kitų techninių spragų, kurios buvo techniškai pataisytos, tačiau jos lieka rimtos, jei jos nepaisomos.

Vienas rimčiausių KPP pažeidžiamumų vadinamas „BlueKeep“. BlueKeep (oficialiai klasifikuojamas kaip CVE-2019-0708) yra pažeidžiamumas, leidžiantis užpuolikams kompiuteryje vykdyti bet kokį norimą kodą, jei jie siunčia specialiai sukurtą užklausą į tinkamą prievadą (paprastai tai yra 3389). „BlueKeep“ yra „wormable“ , tai reiškia, kad jis gali išplisti į visus tinklo kompiuterius be vartotojo veiksmų.

Geriausia apsauga nuo šio pažeidžiamumo yra išjungti KPP, nebent to reikia. Taip pat gali padėti blokuoti 3389 prievadą naudojant ugniasienę. Galiausiai, 2019 m. „Microsoft“ išleido pataisą, pašalinančią šį pažeidžiamumą, todėl sistemos administratoriams būtina įdiegti šią pataisą.

Kaip ir bet kuri kita programa ar protokolas, RDP taip pat turi kai kurių kitų pažeidžiamumų ir daugumą šių spragų galima pašalinti visada naudojant naujausią protokolo versiją. Pardavėjai dažnai pataiso kiekvienos naujos išleistos programinės įrangos versijos spragas.