RDP – це протокол Microsoft для віддаленого підключення до комп'ютера. Ми неодноразово ставали свідками вразливостей у його безпеці. Чи варто турбуватися про атаки з використанням протоколу RDP?
Віддалене підключення до комп'ютера – це функція, яка використовується багатьма працівниками на роботі. Віддалений доступ дозволяє користувачам отримувати допомогу з будь-якої точки світу і дуже часто використовується службами підтримки по всьому світу. RDP – це також протокол, за допомогою якого ми можемо підключатися до серверів або високопродуктивних робочих станцій, розташованих у центрах обробки даних або в нашому офісі.
Окремі співробітники через спеціалізацію своєї роботи, а також цілі організації покладаються на RDP – надаючи своїм співробітникам лише термінали для підключення до реальної ІТ-інфраструктури, що використовується для роботи.
Одним з найпопулярніших у світі протоколів для віддаленого доступу до комп'ютера є RDP – протокол віддаленого робочого столу, розроблений компанією Microsoft. RDP за замовчуванням вбудований в операційні системи сімейства Microsoft Windows та Microsoft Windows Server, що робить його надзвичайно популярним.
Протокол RDP забезпечує зручний доступ до критичної інфраструктури організації з будь-якої точки світу, що робить його особливо цікавим для кіберзлочинців, які намагаються проникнути в організацію. Саме з цієї причини ми досить часто чуємо про атаки на протокол RDP. Наскільки серйозною є ця проблема? Чи може протокол RDP загрожувати кібербезпеці організації?
Як виглядає RDP-атака?
Атака на протокол RDP – це тип кібератаки, в якій доступ або контроль отримується через віддалений комп'ютер, підключений до клієнтської станції за допомогою протоколу RDP.
У зв'язку зі збільшенням кількості людей, які працюють віддалено або гібридно, стрімко зростає кількість атак, що здійснюються з використанням вразливостей в операційних системах або в самому протоколі RDP.
Кіберзлочинці постійно шукають способи використання незахищених з'єднань, застарілих систем або вразливих сервісів з низьким рівнем безпеки. Зловмисники можуть мати на меті отримати повний контроль над операційними системами, отримати облікові дані, щоб видати себе за співробітника організації, або впровадити інфікований вихідний код в організацію, використовуючи протокол RDP.
Найпоширенішим способом здійснення RDP-атак є підбір паролів для автентифікації з'єднання методом грубої сили – комп'ютер намагається підібрати ім'я користувача та пароль до тих пір, поки обидва не будуть вгадані.
Також часто використовуються вразливості в застарілих версіях операційних систем і програмного забезпечення, що використовують протокол RDP. Зловмисники також перевіряють, чи достатньо захищене з'єднання, яке використовується для підключення комп'ютерів за протоколом RDP. Якщо захист недостатньо надійний, то можлива атака типу "зловмисник посередині" (man-in-the-middle). Іноді також можливе використання викрадених облікових даних, отриманих за допомогою цілеспрямованої фішингової атаки.
Найпоширеніші причини для проведення успішної атаки на протокол RDP
Можна виділити чотири найбільш важливі причини, які роблять атаку на протокол RDP легкою і можливою.
По-перше, це використання виявлених уразливостей. Історія показала, що протокол RDP вразливий до різного роду вразливостей безпеки, що разом з його функціональністю робить його дуже привабливою мішенню для хакерів, які намагаються проникнути в ключові операційні системи всередині організацій.
Інша причина полягає в тому, що паролі легко вгадуються і є слабкими. RDP-з'єднання захищаються за допомогою імені користувача та пароля. Отримати ім'я користувача не складно, оскільки організації слідують добре відпрацьованим шаблонам. Вгадати не дуже складний пароль з обчислювальною потужністю сучасних комп'ютерів також не складно. Інструменти грубої сили, про які ми писали раніше, допомагають у цьому.
Не варто також забувати про незахищені порти, які прямо запрошують кіберзлочинців скористатися своїм шансом і проникнути всередину ІТ-інфраструктури організації.
Скануючи мережу, хакери можуть виявити відкриті RDP-порти, які не були належним чином захищені, що дає їм прямий доступ до сервера або комп'ютера, на який вони націлені.
І останнє, але не менш важливе: застаріле програмне забезпечення і, зокрема, застарілі патчі безпеки є фактором, що полегшує успішну атаку на протокол RDP.
Старі версії операційних систем та програмного забезпечення для віддалених обчислень можуть мати вразливості в безпеці, якими хакери неодмінно скористаються.
Атаки на RDP не загрожують організаціям, які впровадили додаткові засоби безпеки
Протокол RDP використовується сотнями тисяч організацій щодня. Більшості з них не варто боятися атак на протокол RDP, оскільки він може бути додатково захищений, що зводить ризик атаки нанівець. Коли додаються додаткові рівні безпеки, ми можемо легко покладатися на протокол RDP і використовувати його в повсякденній оперативній роботі зі стратегічними елементами ІТ-інфраструктури організації.
Хорошою ідеєю для значного підвищення безпеки всієї ІТ-інфраструктури є впровадження багатофакторної перевірки – MFA/2FA. Аутентифікація з двох незалежних джерел значно підвищує рівень безпеки.
Ми також будемо захищені від RDP-атак політикою нульової довіри в поєднанні з аутентифікацією на мережевому рівні.
В організаціях з системами SIEM/SOAR/EDR/XDR або власним центром безпеки – SOC – варто автоматизувати моніторинг логів RDP, щоб швидко реагувати на підозрілу активність і негайно блокувати її до з'ясування ситуації.
Для подальшого підвищення безпеки можна використовувати порти, відмінні від портів за замовчуванням для протоколу RDP, і підключити його до VPN – віртуальної персональної мережі.
Також вкрай важливо впровадити систему, що відповідає за автоматичне оновлення прошивки на обладнанні, яке використовується для зв'язку за протоколом RDP.
Наведені вище поради ефективно запобігають атакам з використанням протоколу RDP.
