Ataki na protokół RDP - czy powinniśmy się ich obawiać?

RDP to protokół firmy Microsoft pozwalający na zdalne łączenie się z komputerem. Kilka raz byliśmy świadkami luk w jego zabezpieczeniach. Czy powinniśmy obawiać się ataków z wykorzystaniem protokołu RDP?

Zdalne połączenie z komputerem to element wykorzystywany w pracy przez wielu pracowników. Zdalny dostęp pozwala na pomoc użytkownikom z dowolnego miejsca na ziemi i jest bardzo często wykorzystywany przez działy helpdesk na całym świecie. RDP to także protokół poprzez który możemy łączyć się z serwerami lub wydajnymi stacjami roboczymi zlokalizowanymi w centrach danych czy naszym biurze.

Czy powinniśmy obawiać się ataków z wykorzystaniem protokołu RDP?
Źródło: Dell / Unsplash

Czy powinniśmy obawiać się ataków z wykorzystaniem protokołu RDP?

Źródło: Dell / Unsplash

Wybrani pracownicy ze względu na specjalizację swojej pracy, a także całe organizacje polegają na RDP - udostępniając swoim pracownikom jedynie terminale, które służą do łączenia się z właściwą infrastrukturą IT wykorzystywaną do pracy.

Zobacz również:

  • Jednak wolimy hybrydowo

Jednym z najpopularniejszych na świecie protokołów wykorzystywanych do zdalnego dostępu do maszyny jest RDP - Remote Dekstop Protocol (protokół zdalnego dostępu) rozwijany przez firmę Microsoft. RDP jest domyślnie zaszyte w systemach operacyjnych z rodziny Microsoft Windows oraz Microsoft Windows Server, przez co jest niezwykle popularny.

Protokół RDP pozwala na wygodny dostęp do infrastruktury krytycznej organizacji z dowolnego miejsca na ziemi, przez co jest szczególnie interesujący dla cyberprzestępców próbujących przeniknąć wewnątrz organizacji. Z tego właśnie powodu dosyć często możemy słyszeć o atakach na protokół RDP. Czy sprawa jest poważna? Czy protokół RDP może zagrażać bezpieczeństwu cybernetycznemu organizacji?

Atak na protokół RDP - jak wygląda?

Atak na protokół RDP jest rodzajem cyberataku, w którym uzyskiwany jest dostęp lub kontrola nad zdalnym komputerem połączonym ze stacją kliencką z wykorzystaniem protokołu RDP.

Ze względu na wzrost osób pracujących zdalnie lub hybrydowo gwałtownie rośnie liczba ataków przeprowadzanych z wykorzystaniem luk w zabezpieczeniach systemów operacyjnych lub samego protokołu RDP.

RDP znacząco ułatwia pracę zdalną
Źródło:  freddie marriage / Unsplash

RDP znacząco ułatwia pracę zdalną

Źródło: freddie marriage / Unsplash

Cyberprzestępcy stale poszukują sposobów na wykorzystanie niezabezpieczonych połączeń, przestarzałych systemów czy usług o niskim poziomie zabezpieczeń podatnych na ataki. Celem atakujących może być uzyskanie pełnej kontroli nad systemy operacyjnym, pozyskanie danych uwierzytelniających w celu podszycia się pod pracownika organizacji lub wstrzyknięcie zainfekowanego kodu źródłowego wewnątrz organizacji z wykorzystaniem protokołu RDP.

Najczęstszym sposobem wykonywania ataków RDP jest odgadywanie haseł do uwierzytelniania połączenia z wykorzystaniem metody brute force - poprzez komputerową próbę dopasowania nazwy użytkownika oraz hasła, aż do momentu, kiedy obie dane zostaną odgadnięte.

Często wykorzystywane są również luki w przestarzałych wersjach systemów operacyjnych oraz oprogramowania korzystającego z protokołu RDP. Atakujący sprawdzają również, czy połączenie, które wykorzystywane jest do połączenia komputerów dzięki protokołowi RDP jest odpowiednio zabezpieczone. Jeżeli zabezpieczenia nie są odpowiednio silne możliwe jest wykorzystanie ataku man-in-the-middle. Czasami zdarza się również wykorzystanie skradzionych danych uwierzytelniających pozyskanych za pomocą kierowanego ataku phishingowego.

Najpopularniejsze przyczyny przeprowadzenia udanego ataku na protokół RDP

Możemy wyróżnić cztery najważniejsze przyczyn, które ułatwiają i umożliwiają przeprowadzenie ataku na protokół RDP.

Po pierwsze mowa o wykorzystaniu odkrytych podatności. Historia pokazała nam, że protokół RDP jest podatny na różnego rodzaju luki w zabezpieczeniach, co wraz z jego funkcjonalnością czyni go bardzo atrakcyjnym celem dla hakerów, którzy próbują przedostać się do kluczowych systemów operacyjnych wewnątrz organizacji.

Kolejną przyczyną są łatwe do zgadnięcia i słabe hasła. Połączenia RDP zabezpieczane są nazwą użytkownika oraz hasłem. Zdobycie nazwy użytkownika nie jest trudne, ponieważ organizacje stosują utarty schemat. Odgadnięcie niezbyt skomplikowanego hasła przy mocy obliczeniowej dzisiejszych komputerów również nie jest skomplikowane. Pomagają w tym narzędzia typu brute force, o których pisaliśmy wcześniej.

Nie wolno zapominać również o niezabezpieczonych portach, które wprost zapraszają cyberprzestępców do wykorzystania swojej szansy i przeniknięcia wewnątrz infrastruktury IT organizacji.

Skanując sieć, hakerzy mogą odkryć otwarte porty RDP, które nie zostały odpowiednio zabezpieczone, co zapewnia im bezpośredni dostęp do serwera lub komputera, który jest ich celem.

RDP często wykorzystywany jest do łączności z infrastrukturą krytyczną
Źródło: Taylor Vick / Unsplash

RDP często wykorzystywany jest do łączności z infrastrukturą krytyczną

Źródło: Taylor Vick / Unsplash

Ostatnim, ale nie mniej ważnym czynnikiem ułatwiających udane przeprowadzenie ataku na protokół RDP jest przestarzałe oprogramowanie, a w szczególności nieaktualne łatki zabezpieczeń.

Stare wersje systemów operacyjnych oraz oprogramowania do zdalnej łączności z komputerami mogą posiadać luki w zabezpieczeniach, które hakerzy z pewnością od razu wykorzystają.

Ataki na RDP nie grożą organizacja, które wdrożyły dodatkowe zabezpieczenia

Z protokołu RDP codziennie korzystają setki tysięcy organizacji. Większość z nich nie musi obawiać się ataków na protokół RDP, ponieważ można go dodatkowo zabezpieczyć, co niweluje ryzyko ataku. Gdy dodamy dodatkowe warstwy zabezpieczeń możemy bez problemu polegać na protokole RDP i wykorzystywać go w codziennej pracy operacyjnej ze strategicznymi elementami infrastruktur IT w organizacji.

Dobrym pomysłem znacząco zwiększającym bezpieczeństwo całej infrastruktury IT jest wdrożenie weryfikacji wieloskładnikowej - MFA/2FA. Uwierzytelnianie z dwóch niezależnych od siebie źródeł znacząco podnosi poziom bezpieczeństwa.

Przed atakami RDP ochroni nas również polityka Zero Trust połączona z uwierzytelnianiem na poziomie sieci.

W organizacjach z systemami SIEM/SOAR/EDR/XDR lub własnym centrum bezpieczeństwa - SOC, dobrym pomysłem jest automatyzacja monitorowania logów RDP, w celu szybkiego reagowania na podejrzaną aktywność i natychmiastowego blokowania jej do momentu wyjaśnienia sytuacji.

Bardzo często czynnik ludzki sprzyja łamaniu protokołu RDP
Źródło: Yura Fresh / Unsplash

Bardzo często czynnik ludzki sprzyja łamaniu protokołu RDP

Źródło: Yura Fresh / Unsplash

Aby dodatkowo zwiększyć bezpieczeństwo można wykorzystać inne, niż domyślne porty do działania protokołu RDP oraz połączyć go z siecią VPN - Virtual Personal Network.

Niezwykle ważne jest również wdrożenie systemu odpowiedzialnego za automatyczną aktualizację oprogramowania układowego na sprzęcie, który jest wykorzystywany do łączności poprzez protokół RDP.

Powyższe wskazówki pozwalając skutecznie zapobiec atakom z wykorzystaniem protokołu RDP.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200