FBI waarschuwt voor aanvallen via Remote Desktop Protocol

[Captain Kirk]

De FBI heeft een waarschuwing afgegeven voor aanvallen via het Remote Desktop Protocol (RDP). Volgens de Amerikaanse opsporingsdienst is er sinds eind 2016 een toename van aanvallen via RDP en hebben aanvallers manieren gevonden om kwetsbare RDP-sessies te vinden, om zo inloggegevens te stelen en ransomware te verspreiden.

Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelt dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken.

Zodra de aanvallers op een systeem weten in te loggen proberen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware. Deze ransomware wordt bij gerichte aanvallen ingezet en kan grote gevolgen voor getroffen organisaties hebben. De FBI meldt dat de aanvallers achter SamSam in juli via een bruteforce-aanval de RDP-inloggegevens van een gezondheidsbedrijf wisten te achterhalen en zo toegang tot het bedrijfsnetwerk kregen en duizenden machines versleutelden.

Om dergelijke aanvallen te voorkomen krijgen zowel bedrijven als eindgebruikers het advies om te controleren of ze RDP hebben ingeschakeld. Indien niet nodig moet de dienst worden uitgeschakeld. Verder moeten beheerders sterke wachtwoorden en een lockout policy instellen om bruteforce-aanvallen tegen te gaan. Ook wordt het gebruik van tweefactorauthenticatie en RDP-logging aangeraden en het beperken van toegang tot RDP-verbindingen.

 

 

bron: security.nl