هشدار IC۳ در خصوص سرویس RDP
مرکز دادخواهی جرائم اینترنت (Internet Crime Complaint Center یا IC۳) ، یک هشدار امنیتی را در زمینه حملات انجام شده از طریق پروتکل RDP ارائه کرده است. مهاجمین برای سرقت اطلاعات ، نصب درپشتی یا برای تعیین نقطه نفوذ اولیه برای انجام حملات آتی از RDP سوء استفاده میکنند.
مهاجمان روشهایی را برای شناسایی و بهرهبرداری از نشستهای RDP آسیبپذیر توسعه دادهاند تا اطلاعات احرازهویت را به سرقت ببرند و برای بازگردانی اطلاعات حساس باجگیری کنند. محققان توصیه کردهاند تا کسبوکارها و شهروندان دسترسیهای راه دوری که شبکه های آنها اجازه میدهند را شناسایی کند و راههای نفوذ به آنها را مسدود کنند، این امر ممکن است در صورت عدم نیاز به RDP، منجر به غیرفعال سازی آن شود.
موتور جستجو دستگاههای متصل به اینترنت، Shodan.io، بیش از ۲ میلیون رایانه را نشان میدهد که در حال اجرا Remote Desktop Protocol هستند و مستقیما به اینترنت متصل هستند.
بسیاری از آلودگیهای باجافزاری از جمله توسط باجافزارهای CrySiS/Dharma، SamSam، BitPaymer و CryptON از طریق RDP انجام شدهاند. مبلغ خواسته شده توسط مهاجم برای بازیابی فایلهای یک رایانه آلوده توسط این بدافزارها حدود ۳۰۰۰ الی ۵۰۰۰ دلار و برای بازیابی فایلهای کل شبکه آلوده ۵۰۰۰۰ دلار تعیین میشود. از این رو استفاده امن و حفاظت از RDP برای سازمانها بسیار حائز اهمیت است.
نکته قابل توجه این است که توصیهای برای عدم استفاده از سرویس RPD وجود ندارد، بلکه گفته میشود در صورت نیز به استفاده از RDP، از آن محافظت شود. برخی رویکردهای محافظت از RDP بصورت موارد زیر است:
• سرورهای RDP را به طور مستقیم در معرض اینترنت قرار ندهید: برای این مورد میتوان از اتصالهای امن (VPN) و دیوار آتش برای محافظت استفاده کرد. همچنین تغییر پورت پیشفرض RDP از ۳۳۸۹ به یک پورت دیگر کمی به امنیت آن میافزاید.
• استفاده از گذرواژههای قوی و احرازهویت چند عاملی: به بسیاری از سرویسهای RDP از طریق حملات جستجو فراگیر (brute-force) نفوذ میشود. استفاده از گذرواژههای قوی و پیچیده این گونه حملات را دچار مشکل میکند. در ویندوز میتوان در بخش سیاستهای گذرواژه، قدرت و پیچیدگی آن را افزایش داد.
• فعالسازی سیاستهای قفل کردن حسابکاربری: این رویکرد نیز از حملات جستجو فراگیر جلوگیری میکند. در این رویکرد اگر برای ورود به یک حساب کاربری چندین تلاش ناموفق انجام شود، حسابکاربری مورد نظر قفل خواهد شد.
• بررسی تلاشهای ورود به حسابها: مدیران سیستمها میتوانند از این طریق مشاهده کنند که به چه حسابی چندین تلاش برای ورود وجود دارد.
• نصب بروزرسانیهای امنیتی
مرجع : مرکز مدیریت راهبردی افتا