Über Udalenka, ungeschütztes RDP und die Zunahme der Anzahl der im Internet verfügbaren Server

Aufgrund des hastigen Massenübergangs von Unternehmen zu Remote-Arbeit wächst die Anzahl der Unternehmensserver, die Cyberkriminellen aus dem Internet zur Verfügung stehen, rapide. Einer der Hauptgründe ist die Verwendung des ungeschützten Remote Desktop Protocol (RDP). Nach unseren Angaben stieg die Anzahl der Geräte, auf die über das RDP-Protokoll aus dem Internet zugegriffen werden kann, allein in Russland in nur einer Woche um 15%.



Heutzutage besteht die beliebteste Methode zum Organisieren von Remote-Arbeiten darin, eine Remote-Verbindung zu einer Workstation herzustellen, da die Software zum Herstellen einer Verbindung zu einem Remote-Desktop Teil einer modernen Windows-Version ist und sich der Prozess dieser Arbeit für einen Mitarbeiter nicht vom regulären Zugriff auf ein funktionierendes System unterscheidet. Für den Remotezugriff wird das RDP-Protokoll verwendet, das standardmäßig Port 3389 verwendet.

Leider achten viele Unternehmen aufgrund der Panik nicht auf den Schutz des Fernzugriffs auf den Arbeitsplatz, der viele Bedrohungen darstellt. Es gibt beispielsweise Situationen, in denen ein Remote-Server über das Internet zugänglich und sichtbar ist - jeder kann versuchen, eine Verbindung zu ihm herzustellen. Trotz der Notwendigkeit der Identifizierung und Authentifizierung kann ein Angreifer ein Kennwort erzwingen oder ein Sicherheitszertifikat ersetzen. Darüber hinaus sind viele Sicherheitslücken bekannt, mit denen Sie auf einen Remote-Server zugreifen können, ohne eine Authentifizierungsprozedur durchführen zu müssen.

Wie relevant sind diese Bedrohungen? Um diese Frage zu beantworten, haben wir verschiedene Tools verwendet, um die Anzahl der im Internet verfügbaren Geräte mithilfe des RDP-Protokolls zu analysieren und zu überwachen. Basierend auf den erhaltenen Daten können wir den Schluss ziehen, dass die Anzahl der verfügbaren Geräte aufgrund des Massentransfers von Mitarbeitern zur Fernarbeit rapide zunimmt. In nur einer Woche stieg die Anzahl der verfügbaren Server weltweit um mehr als 20% und erreichte die Marke von 3 Millionen. Eine ähnliche Situation ist in Russland zu beobachten: Das Wachstum des Anteils der verfügbaren Server um fast 15%, die Gesamtzahl beträgt mehr als 75.000.





Diese Statistiken beginnen zu erschrecken, da vor nicht allzu langer Zeit mehrere große Schwachstellen im Zusammenhang mit RDP abgeklungen sind. Mitte 2019 wurde eine kritische Sicherheitslücke unter der Nummer CVE-2019-0708 entdecktBlueKeep und nach einigen Monaten wurden auch Informationen über die kritischen Sicherheitslücken CVE-2019-1181 / 1182 mit dem Namen DejaBlue veröffentlicht . Sowohl das erste als auch das zweite beziehen sich nicht direkt auf das RDP-Protokoll, sie beziehen sich jedoch auf die RDS-Remotedesktopdienste und ermöglichen einen erfolgreichen Betrieb, indem eine spezielle Anforderung über RDP gesendet wird, um die Möglichkeit zu erhalten, beliebigen Code auf einem anfälligen System auszuführen, ohne dass ein Authentifizierungsverfahren durchgeführt werden muss. Es reicht aus, Zugriff auf einen Host oder Server mit einem anfälligen Windows-System zu haben. Daher ist jedes System, auf das über das Internet zugegriffen werden kann, anfällig, wenn die neuesten Windows-Sicherheitsupdates nicht installiert sind.

Microsoft hat Sicherheitsupdates rechtzeitig veröffentlicht, um der Bedrohung durch BlueKeep und DejaBlue zu begegnen. Dies sind jedoch nur einige Beispiele für bekannte Bedrohungen im Zusammenhang mit unsicherem Remotezugriff. Jeden Monat beheben Windows-Sicherheitsupdates neu entdeckte Sicherheitslücken in Bezug auf RDP, deren erfolgreicher Betrieb zum Diebstahl wichtiger Informationen sowie zur Einführung und schnellen Verbreitung von Malware in der gesamten Infrastruktur des Unternehmens führen kann.

Während Massenereignissen, die umso beängstigender sind als eine globale Pandemie, wird die Anzahl der Angriffe auf Organisationen unweigerlich zunehmen. Unternehmen versuchen, allen Mitarbeitern so schnell wie möglich einen Fernzugriff zu ermöglichen, aber in einer solchen Eile ist es sehr leicht, die Schutzregeln zu vergessen oder zu vernachlässigen. Aus diesem Grund ist es äußerst unerwünscht, einen normalen ungeschützten Remotezugriff auf den Desktop zu verwenden. Es wird empfohlen, ein VPN mit Zwei-Faktor-Authentifizierung zu verwenden und einen Remotezugriff basierend auf sicheren Protokollen zu implementieren.