Ризики безпеки RDP

Що таке RDP?

RDP, або Remote Desktop Protocol, є одним із основних протоколів, що використовуються для сеансів віддаленого робочого столу. Саме тоді співробітники отримують доступ до робочого столу в офісі з іншого пристрою. RDP входить до складу більшості операційних систем Windows і може також використовуватися з Mac. Багато компаній покладаються на RDP, щоб дозволити своїм співробітникам працювати вдома.

RDP (протокол віддаленого робочого стола) є одним із основних протоколів, що використовуються для сеансів віддаленого робочого столу

Які основні вразливості безпеки RDP?

Уразливості — це помилки в тому, як побудовано частину програмного забезпечення, що дозволяє зловмисникам отримати несанкціонований доступ. Подумайте про це як про неправильно встановлений засув на вхідних дверях будинку, що дозволяє злочинцям проникнути всередину.

Ось найважливіші вразливості в RDP:

1. Слабкі облікові дані користувача

Більшість настільних комп’ютерів захищено паролем, і зазвичай користувачі можуть налаштувати це як завгодно. Проблема полягає в тому, що користувачі часто використовують той самий пароль для віддаленого входу RDP. Компанії зазвичай не керують цими паролями, щоб забезпечити їхню надійність, і вони часто залишають ці віддалені з’єднання відкритими для атак грубої сили або введення облікових даних .

• Короткий опис того, як створювати надійні паролі та керувати ними найбільш безпечно

2. Необмежений доступ до порту

Підключення RDP майже завжди відбувається через порт 3389*. Зловмисники можуть припустити, що це порт, який використовується, і націлитися на нього для здійснення атак.

* У мережі шлюз — це логічне програмне розташування, яке призначається певним типам з’єднань. Призначення різних процесів різним портам допомагає комп’ютеру відстежувати ці процеси. Наприклад, трафік HTTP завжди надходить на порт 80, тоді як трафік HTTPS – на порт 443.

Які існують способи усунення цих вразливостей RDP?

• Щоб зменшити поширеність слабких облікових даних:

Єдиний вхід (SSO)

Багато компаній використовують служби єдиного входу для керування інформацією про вхід користувачів у різні програми. SSO надає компаніям простіший спосіб примусового використання надійних паролів, а також запровадження більш безпечних заходів, таких як двофакторна автентифікація (2FA) . Віддалений доступ RDP можна перемістити за процес SSO, щоб усунути вразливість входу користувача, описану вище.

Керування паролями та застосування

Для деяких компаній переміщення віддаленого доступу RDP позаду процесу SSO може не бути варіантом. Як мінімум, ці компанії повинні вимагати від співробітників скинути свої паролі робочого столу на щось надійніше.

• Для захисту від атак на основі портів:

Заблокувати порт 3389

Програмне забезпечення безпечного тунелювання може допомогти запобігти зловмисникам надсилати запити на порт 3389. За допомогою безпечного тунелювання будь-які запити, які не проходять через тунель, блокуватимуться.

Правила брандмауера

Корпоративний брандмауер можна налаштувати вручну так, щоб через порт 3389 не проходив трафік, окрім трафіку з дозволених діапазонів IP-адрес (наприклад, пристроїв, які, як відомо, належать працівнику).

Однак цей метод потребує багато ручних зусиль і залишається вразливим, якщо зловмисники викрадають авторизовані IP-адреси або пристрої співробітників скомпрометовані. Крім того, часто важко ідентифікувати та ввімкнути всі пристрої співробітників заздалегідь, що призводить до постійних ІТ-запитів від заблокованих співробітників.

RDP також має ряд інших вразливостей, і більшість із них можна усунути, завжди використовуючи останню версію протоколу.

Які ще вразливості має RDP?

RDP містить інші технічні вразливості, які технічно виправлено, але залишаються серйозними, якщо їх не перевірити.

Одна з найсерйозніших уразливостей RDP називається «BlueKeep». BlueKeep (офіційно класифікується як CVE-2019-0708) — це вразливість, яка дозволяє зловмисникам виконувати будь-який код на комп’ютері, якщо вони надсилають спеціально створений запит на правильний порт (зазвичай це 3389). BlueKeep є шкідливим , тобто може поширюватися на всі комп’ютери в мережі без будь-яких дій з боку користувача.

Найкращий захист від цієї вразливості — вимкнути RDP, якщо це не потрібно. Також може допомогти блокування порту 3389 за допомогою брандмауера. Нарешті, у 2019 році Microsoft випустила патч, який усуває цю вразливість, і для системних адміністраторів важливо встановити цей патч.

Як і будь-яка інша програма чи протокол, RDP також має деякі інші вразливості, і більшість із цих уразливостей можна усунути, завжди використовуючи останню версію протоколу. Постачальники часто виправляють уразливості в кожній новій версії програмного забезпечення, яку вони випускають.