如何對(duì)抗利用微軟遠(yuǎn)程桌面協(xié)議的網(wǎng)絡(luò)攻擊

由于檢疫，現(xiàn)在被迫在家工作的人仍然必須盡可能有效地工作。 在許多情況下，IT人員和其他員工需要遠(yuǎn)程連接到辦公室的工作站和服務(wù)器，為此，他們通常依賴內(nèi)置在Windows中的Microsoft遠(yuǎn)程桌面協(xié)議(RDP)。

然而，RDP帶來了一些安全風(fēng)險(xiǎn)，特別是如果沒有正確設(shè)置必要的訪問、帳戶和身份驗(yàn)證。 在周四發(fā)表的一篇博客文章中，McAfee解釋了網(wǎng)絡(luò)罪犯是如何利用RDP訪問的，以及組織可以做些什么來保護(hù)自己。

McAfee在其博客文章《網(wǎng)絡(luò)罪犯積極利用RDP攻擊遠(yuǎn)程組織》中解釋說，RDP經(jīng)常在Windows服務(wù)器上運(yùn)行，包括Web服務(wù)器和文件服務(wù)器。 在某些情況下，它也用于工業(yè)控制系統(tǒng)。

許多具有RDP的系統(tǒng)都暴露在互聯(lián)網(wǎng)上；暴露系統(tǒng)的數(shù)量從2020年1月的300萬左右增加到3月的450萬以上。 隨著這一增長(zhǎng)，對(duì)RDP端口的攻擊量也激增。

SEE：如何在家工作：IT專業(yè)人員遠(yuǎn)程辦公和遠(yuǎn)程工作指南(Tech Republic Premium)

此外，McAfee發(fā)現(xiàn)在地下市場(chǎng)上出售RDP證書的數(shù)量激增，其中許多是以相對(duì)較低的價(jià)格出售的。 在一個(gè)例子中，一個(gè)主要國(guó)際機(jī)場(chǎng)的RDP證書只在黑暗的網(wǎng)絡(luò)上交易了10$。

黑客通常通過蠻力密碼攻擊來接管具有RDP訪問權(quán)限的帳戶。 這種攻擊對(duì)弱口令特別成功，這些弱口令仍然非常常用。 McAfee分析的RDP賬戶最常用的密碼是“test”、“1”、“12345”、“password”、“Passw1”、“1234”、“P@ssw0rd”、“123”和“123456”。 一些RDP系統(tǒng)甚至沒有密碼。

在RDP中也經(jīng)常發(fā)現(xiàn)漏洞，要求微軟發(fā)布安全補(bǔ)丁。 最近最臭名昭著的例子之一是2019年出現(xiàn)的藍(lán)色保持脆弱性。 今年1月，微軟還不得不修復(fù)與遠(yuǎn)程桌面網(wǎng)關(guān)相關(guān)的缺陷，該網(wǎng)關(guān)用于保護(hù)遠(yuǎn)程連接。 但是組織必須應(yīng)用微軟的補(bǔ)丁，否則他們?nèi)匀蝗菀资艿絉DP漏洞的影響。

通過RDP獲得遠(yuǎn)程訪問組織的罪犯可以將其用于各種邪惡目的。 他們可以使用合法的系統(tǒng)發(fā)送垃圾郵件。 他們可以使用受損的機(jī)器分發(fā)惡意軟件或植入密碼器，該密碼器利用空閑CPU電源來挖掘密碼貨幣。 他們還可以使用遠(yuǎn)程系統(tǒng)進(jìn)行額外的欺詐，如身份盜。

隨著向遠(yuǎn)程工作的過渡如此迅速和突然，黑客知道許多組織可能沒有為RDP建立適當(dāng)?shù)陌踩珯z查和限制。