RDP sur le radar : une vue rapprochée de l'évolution des menaces d'accès à distance

Alors que la pandémie de COVID-19 se propageait dans le monde entier, beaucoup d'entre nous, moi y compris, se sont tournés vers le travail à temps plein à domicile. De nombreux employés d'ESET étaient déjà habitués à travailler à distance une partie du temps, et il s'agissait en grande partie d'augmenter les ressources existantes pour gérer l'afflux de nouveaux travailleurs à distance, comme l'achat de quelques ordinateurs portables supplémentaires et de licences VPN.

La même chose, cependant, ne pouvait pas être dite pour de nombreuses organisations à travers le monde, qui devaient soit configurer l'accès pour leur main-d'œuvre distante à partir de zéro, soit au moins augmenter considérablement leurs serveurs Remote Desktop Protocol (RDP) pour rendre l'accès à distance utilisable pour de nombreuses personnes. utilisateurs concurrents.

Pour aider ces départements informatiques, en particulier ceux pour qui une main-d'œuvre distante était quelque chose de nouveau, j'ai travaillé avec notre département de contenu pour créer un document discutant des types d'attaques qu'ESET voyait qui ciblaient spécifiquement RDP, et quelques étapes de base pour se protéger contre eux . Ce papier se trouve ici sur le blog d'entreprise d'ESET, au cas où vous seriez curieux.

À peu près au même moment où ce changement se produisait, ESET a réintroduit notre rapports sur les menaces, et l'une des choses que nous avons remarquées était que les attaques RDP continuaient de croître. Selon nos rapport sur les menaces pour les quatre premiers mois de 2022, plus de 100 milliard de telles attaques ont été tentées, dont plus de la moitié ont été attribuées à des blocs d'adresses IP russes.

De toute évidence, il était nécessaire de revoir les exploits RDP qui ont été développés et les attaques qu'ils ont rendues possibles au cours des deux dernières années pour signaler ce qu'ESET voyait à travers ses renseignements sur les menaces et sa télémétrie. C'est donc exactement ce que nous avons fait : une nouvelle version de notre article 2020, désormais intitulée Remote Desktop Protocol : configuration de l'accès à distance pour une main-d'œuvre sécurisée, a été publié pour partager ces informations.

Que s'est-il passé avec RDP ?

Dans la première partie de cet article révisé, nous examinons comment les attaques ont évolué au cours des deux dernières années. Une chose que je voudrais partager, c'est que toutes les attaques n'ont pas augmenté. Pour un type de vulnérabilité, ESET a constaté une nette diminution des tentatives d'exploitation :

• Détections du BlueKeep (CVE-2019-0708) exploit wormable dans Remote Desktop Services ont diminué de 44 % par rapport à leur pic en 2020. Nous attribuons cette diminution à une combinaison de pratiques de correctifs pour les versions concernées de Windows et de protection contre les exploits au périmètre du réseau.

L'une des plaintes souvent entendues à propos des entreprises de sécurité informatique est qu'elles passent trop de temps à parler de la façon dont la sécurité s'aggrave sans cesse et ne s'améliore pas, et que toute bonne nouvelle est peu fréquente et transitoire. Certaines de ces critiques sont valables, mais la sécurité est toujours un processus continu : de nouvelles menaces émergent constamment. Dans ce cas, voir les tentatives d'exploitation d'une vulnérabilité comme BlueKeep diminuer avec le temps semble être une bonne nouvelle. RDP reste largement utilisé, ce qui signifie que les attaquants vont continuer à mener des recherches sur les vulnérabilités qu'ils peuvent exploiter.

Pour qu'une classe d'exploits disparaisse, tout ce qui leur est vulnérable doit cesser d'être utilisé. La dernière fois que je me souviens d'avoir vu un changement aussi répandu, c'était lorsque Microsoft a publié Windows 7 en 2009. Windows 7 est venu avec la prise en charge de l'exécution automatique (AUTORUN.INF) désactivée. Microsoft a ensuite rétroporté ce changement sur toutes les versions précédentes de Windows, mais pas parfaitement la première fois,. Une fonctionnalité depuis la sortie de Windows 95 en 1995, AutoRun a été fortement abusé pour propager des vers comme Conficker. À un moment donné, les vers basés sur AUTORUN.INF représentaient près d'un quart des menaces rencontrées par le logiciel d'ESET. Aujourd'hui, ils représentent sous un dixième de pour cent de détections.

Contrairement à la lecture automatique, RDP reste une fonctionnalité régulièrement utilisée de Windows et ce n'est pas parce qu'il y a une diminution de l'utilisation d'un seul exploit contre lui que les attaques contre lui dans son ensemble sont en baisse. En fait, les attaques contre ses vulnérabilités ont augmenté massivement, ce qui soulève une autre possibilité de diminution des détections BlueKeep : d'autres exploits RDP pourraient être tellement plus efficaces que les attaquants se sont tournés vers eux.

L'examen de deux années de données allant du début de 2020 à la fin de 2021 semblerait d'accord avec cette évaluation. Au cours de cette période, la télémétrie ESET montre une augmentation massive des tentatives de connexion RDP malveillantes. Quelle était la taille du saut ? Au premier trimestre 2020, nous avons enregistré 1.97 milliard de tentatives de connexion. Au quatrième trimestre 2021, ce chiffre était passé à 166.37 milliards de tentatives de connexion, soit une augmentation de plus de 8,400 XNUMX % !

De toute évidence, les attaquants trouvent utile de se connecter aux ordinateurs des organisations, que ce soit pour faire de l'espionnage, planter des rançongiciels ou tout autre acte criminel. Mais il est également possible de se défendre contre ces attaques.

La deuxième partie du document révisé fournit des conseils actualisés sur la défense contre les attaques contre RDP. Bien que ces conseils s'adressent davantage aux professionnels de l'informatique qui ne sont peut-être pas habitués à renforcer leur réseau, ils contiennent des informations qui peuvent même être utiles au personnel plus expérimenté.

Nouvelles données sur les attaques SMB

L'ensemble de données sur les attaques RDP s'est accompagné d'un ajout inattendu de télémétrie à partir des tentatives d'attaques SMB (Server Message Block). Compte tenu de ce bonus supplémentaire, je n'ai pas pu m'empêcher de regarder les données et j'ai estimé qu'elles étaient suffisamment complètes et intéressantes pour qu'une nouvelle section sur les attaques des PME et les défenses contre celles-ci puisse être ajoutée à l'article.

SMB peut être considéré comme un protocole compagnon de RDP, en ce sens qu'il permet d'accéder à distance aux fichiers, imprimantes et autres ressources réseau pendant une session RDP. 2017 a vu la sortie publique de l'EternalBlue (CVE-2017-0144) exploit wormable. L'utilisation de l'exploit a continué de croître à travers 2018, 2019, et dans 2020, selon la télémétrie ESET.

La vulnérabilité exploitée par EternalBlue n'est présente que dans SMBv1, une version du protocole datant des années 1990. Cependant, SMBv1 a été largement implémenté dans les systèmes d'exploitation et les appareils en réseau pendant des décennies et ce n'est qu'en 2017 que Microsoft a commencé à livrer des versions de Windows avec SMBv1 désactivé par défaut.

Fin 2020 et jusqu'en 2021, ESET a constaté une nette diminution des tentatives d'exploitation de la vulnérabilité EternalBlue. Comme avec BlueKeep, ESET attribue cette réduction des détections aux pratiques de correction, à l'amélioration des protections au périmètre du réseau et à la diminution de l'utilisation de SMBv1.

Réflexions finales

Il est important de noter que ces informations présentées dans ce document révisé ont été recueillies à partir de la télémétrie d'ESET. Chaque fois que l'on travaille avec des données de télémétrie sur les menaces, certaines conditions doivent être appliquées pour les interpréter :

1. Le partage de la télémétrie des menaces avec ESET est facultatif ; Si un client ne se connecte pas au système LiveGrid® d'ESET ou ne partage pas de données statistiques anonymes avec ESET, nous n'aurons aucune donnée sur ce que son installation du logiciel d'ESET a rencontré.
2. La détection des activités RDP et SMB malveillantes s'effectue via plusieurs couches de protection d'ESET. technologies, dont Protection contre les botnets, Protection contre les attaques par force brute, Protection contre les attaques réseau, et ainsi de suite. Tous les programmes d'ESET ne disposent pas de ces couches de protection. Par exemple, ESET NOD32 Antivirus fournit un niveau de protection de base contre les logiciels malveillants pour les utilisateurs à domicile et ne dispose pas de ces couches de protection. Ils sont présents dans ESET Internet Security et ESET Smart Security Premium, ainsi que dans les programmes de protection des terminaux d'ESET pour les utilisateurs professionnels.
3. Bien qu'ils n'aient pas été utilisés dans la préparation de ce document, les rapports sur les menaces d'ESET fournissent des données géographiques jusqu'au niveau de la région ou du pays. La détection GeoIP est un mélange de science et d'art, et des facteurs tels que l'utilisation de VPN et l'évolution rapide de la propriété des blocs IPv4 peuvent avoir un impact sur la précision de la localisation.
4. De même, ESET est l'un des nombreux défenseurs de cet espace. La télémétrie nous indique ce que les installations du logiciel d'ESET empêchent, mais ESET n'a aucune idée de ce que les clients des autres produits de sécurité rencontrent.

En raison de ces facteurs, le nombre absolu d'attaques sera plus élevé que ce que nous pouvons apprendre de la télémétrie d'ESET. Cela dit, nous pensons que notre télémétrie est une représentation fidèle de la situation globale ; l'augmentation et la diminution globales des détections de diverses attaques, en pourcentage, ainsi que les tendances d'attaque notées par ESET, sont susceptibles d'être similaires dans l'industrie de la sécurité.

Remerciements particuliers à mes collègues Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná et Peter Stančík pour leur aide dans la révision de cet article.

Aryeh Goretsky, ZCSE, rMVP
Chercheur émérite, ESET