Fejlkonfigurerede fjernadgangstjenester fortsætter med at give dårlige aktører en nem adgangsvej til virksomhedens netværk – her er, hvordan du kan minimere din eksponering for angreb, der misbruger Remote Desktop Protocol
Da COVID-19-pandemien spredte sig over hele kloden, vendte mange af os, inklusiv mig selv, til at arbejde fuldtid hjemmefra. Mange af ESETs medarbejdere var allerede vant til at arbejde eksternt en del af tiden, og det var i høj grad et spørgsmål om at opskalere eksisterende ressourcer for at håndtere tilstrømningen af nye fjernarbejdere, såsom at købe nogle flere bærbare computere og VPN-licenser.
Det samme kunne dog ikke siges for mange organisationer rundt om i verden, som enten skulle konfigurere adgang for deres eksterne arbejdsstyrke fra bunden eller i det mindste betydeligt opskalere deres Remote Desktop Protocol (RDP)-servere for at gøre fjernadgang brugbar for mange samtidige brugere.
For at hjælpe de it-afdelinger, især dem, for hvem en ekstern arbejdsstyrke var noget nyt, arbejdede jeg sammen med vores indholdsafdeling for at lave et papir, der diskuterede de typer angreb, ESET så, som specifikt var rettet mod RDP, og nogle grundlæggende trin til at sikre mod dem . Det papir kan findes her på ESETs virksomhedsblog, hvis du er nysgerrig.
Omtrent samtidig med, at denne ændring fandt sted, genindførte ESET vores globale trusselsrapporter, og en af de ting, vi bemærkede, var, at RDP-angreb fortsatte med at vokse. Ifølge vores trusselsrapport for de første fire måneder af 2022over 100 milliarder sådanne angreb blev forsøgt, hvoraf over halvdelen blev sporet tilbage til russiske IP-adresseblokke.
Det er klart, at der var behov for at tage et nyt kig på de RDP-benyttelser, der blev udviklet, og de angreb, de gjorde mulige, i løbet af de sidste par år for at rapportere, hvad ESET så gennem sin trusselsintelligens og telemetri. Så vi har gjort netop det: en ny version af vores 2020-papir, nu med titlen Remote Desktop Protocol: Konfiguration af fjernadgang for en sikker arbejdsstyrke, er blevet offentliggjort for at dele disse oplysninger.
Hvad er der sket med RDP?
I den første del af dette reviderede papir ser vi på, hvordan angreb har udviklet sig i løbet af de sidste par år. En ting, jeg gerne vil dele, er, at ikke alle angreb har været stigende. For én type sårbarhed oplevede ESET et markant fald i udnyttelsesforsøg:
- Detektering af BlueKeep (CVE-2019-0708) ormbar udnyttelse i Remote Desktop Services er faldet 44 % fra deres højdepunkt i 2020. Vi tilskriver dette fald en kombination af patching-praksis for berørte versioner af Windows plus udnyttelsesbeskyttelse ved netværkets perimeter.
En af de ofte hørte klager over computersikkerhedsvirksomheder er, at de bruger for meget tid på at tale om, hvordan sikkerheden altid bliver værre og ikke forbedres, og at enhver god nyhed er sjælden og forbigående. Noget af den kritik er gyldig, men sikkerhed er altid en løbende proces: nye trusler dukker altid op. I dette tilfælde virker det som gode nyheder at se forsøg på at udnytte en sårbarhed som BlueKeep falde over tid. RDP er fortsat meget udbredt, og det betyder, at angribere vil fortsætte med at forske i sårbarheder, som de kan udnytte.
For at en klasse af udnyttelser skal forsvinde, skal det, der er sårbart over for dem, stoppe med at blive brugt. Sidst jeg husker, at jeg så en så udbredt ændring, var da Microsoft udgav Windows 7 i 2009. Windows 7 kom med understøttelse af AutoRun (AUTORUN.INF) deaktiveret. Microsoft tilbageporterede derefter denne ændring til alle tidligere versioner af Windows, selvom det ikke var perfekt første gang. En funktion siden Windows 95 blev udgivet i 1995, AutoRun blev kraftigt misbrugt til at udbrede orme som f.eks. Conficker. På et tidspunkt tegnede AUTORUN.INF-baserede orme sig for næsten en fjerdedel af de trusler, ESET's software stødte på. I dag udgør de under en tiendedel af en procent af påvisninger.
I modsætning til AutoPlay forbliver RDP en regelmæssigt brugt funktion i Windows, og bare fordi der er et fald i brugen af en enkelt udnyttelse mod det, betyder det ikke, at angreb mod det som helhed er faldende. Faktisk er angreb mod dets sårbarheder steget massivt, hvilket giver en anden mulighed for faldet i BlueKeep-detektioner: Andre RDP-udnyttelser kan være så meget mere effektive, at angribere er skiftet over til dem.
At se på to års data fra begyndelsen af 2020 til slutningen af 2021 synes at stemme overens med denne vurdering. I den periode viser ESET-telemetri en massiv stigning i ondsindede RDP-forbindelsesforsøg. Hvor stort var springet lige? I første kvartal af 2020 så vi 1.97 milliarder forbindelsesforsøg. I fjerde kvartal af 2021 var det steget til 166.37 milliarder forbindelsesforsøg, en stigning på over 8,400 %!
Figur 2. Ondsindede RDP-forbindelsesforsøg opdaget over hele verden (kilde: ESET-telemetri). Absolutte tal er afrundet
Det er klart, at angribere finder værdi i at oprette forbindelse til organisationers computere, uanset om de udfører spionage, planter ransomware eller en anden kriminel handling. Men det er også muligt at forsvare sig mod disse angreb.
Anden del af det reviderede papir giver opdateret vejledning om forsvar mod angreb på RDP. Selvom dette råd er mere rettet mod de it-professionelle, som måske ikke er vant til at hærde deres netværk, indeholder det information, der endda kan være nyttigt for mere erfarne medarbejdere.
Nye data om SMB-angreb
Med sættet af data om RDP-angreb fulgte en uventet tilføjelse af telemetri fra forsøg på Server Message Block (SMB)-angreb. I betragtning af denne ekstra bonus kunne jeg ikke lade være med at se på dataene og følte, at det var fuldstændigt og interessant nok til, at et nyt afsnit om SMB-angreb og forsvar mod dem kunne tilføjes avisen.
SMB kan opfattes som en ledsagende protokol til RDP, idet den gør det muligt at få fjernadgang til filer, printere og andre netværksressourcer under en RDP-session. 2017 så den offentlige udgivelse af EternalBlue (CVE-2017-0144) ormelig udnyttelse. Brugen af udnyttelsen fortsatte med at vokse igennem 2018, 2019, og ind 2020, ifølge ESET telemetri.
Figur 3. CVE -2017-0144 "EternalBlue"-detekteringer på verdensplan (Kilde: ESET telemetri)
Den sårbarhed, der udnyttes af EternalBlue, er kun til stede i SMBv1, en version af protokollen, der går tilbage til 1990'erne. SMBv1 blev dog bredt implementeret i operativsystemer og netværksenheder i årtier, og det var først i 2017, at Microsoft begyndte at sende versioner af Windows med SMBv1 deaktiveret som standard.
I slutningen af 2020 og frem til 2021 oplevede ESET et markant fald i forsøg på at udnytte EternalBlue-sårbarheden. Som med BlueKeep tilskriver ESET denne reduktion i detektioner til patching-praksis, forbedret beskyttelse ved netværkets perimeter og reduceret brug af SMBv1.
Afsluttende tanker
Det er vigtigt at bemærke, at disse oplysninger, der præsenteres i dette reviderede papir, blev indsamlet fra ESETs telemetri. Hver gang man arbejder med trusselstelemetridata, er der visse forbehold, der skal anvendes til at fortolke dem:
- Deling af trusseltelemetri med ESET er valgfrit; hvis en kunde ikke opretter forbindelse til ESETs LiveGrid®-system eller deler anonymiserede statistiske data med ESET, så vil vi ikke have nogen data om, hvad deres installation af ESETs software stødte på.
- Detekteringen af ondsindet RDP- og SMB-aktivitet sker gennem flere lag af ESET's beskyttelse , herunder Botnet beskyttelse, Brute Force Attack Protection, Netværksangrebsbeskyttelse, og så videre. Ikke alle ESETs programmer har disse beskyttelseslag. For eksempel giver ESET NOD32 Antivirus et grundlæggende niveau af beskyttelse mod malware til hjemmebrugere og har ikke disse beskyttende lag. De er til stede i ESET Internet Security og ESET Smart Security Premium samt i ESETs programmer til beskyttelse af slutpunkter til erhvervsbrugere.
- Selvom det ikke blev brugt i udarbejdelsen af dette papir, giver ESET-trusselsrapporter geografiske data ned til regions- eller landeniveau. GeoIP-detektion er en blanding af videnskab og kunst, og faktorer som brugen af VPN'er og det hurtigt skiftende ejerskab af IPv4-blokke kan have en indflydelse på placeringsnøjagtigheden.
- Ligeledes er ESET en af de mange forsvarere i dette rum. Telemetri fortæller os, hvad installationer af ESETs software forhindrer, men ESET har ingen indsigt i, hvad kunder af andre sikkerhedsprodukter støder på.
På grund af disse faktorer vil det absolutte antal angreb være højere end hvad vi kan lære af ESETs telemetri. Når det er sagt, mener vi, at vores telemetri er en nøjagtig repræsentation af den overordnede situation; den overordnede stigning og fald i registreringer af forskellige angreb, procentvis, såvel som angrebstendenserne noteret af ESET, vil sandsynligvis være ens på tværs af sikkerhedsindustrien.
En særlig tak til mine kolleger Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná og Peter Stančík for deres hjælp i revisionen af dette papir.
Aryeh Goretsky, ZCSE, rMVP
Distinguished Researcher, ESET
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- ESET Research
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Vi lever sikkerhed
- website sikkerhed
- zephyrnet
