Slik sikrer du organisasjonen mot misbruk av RDP
Author: admin
Etterforskningen etter hendelsen har vist at inntrengerne fikk tilgang ved å knekke et passord til RDP-tjenesten (Remote Desktop Protocol) ved hjelp av et «brute force»-angrep. Et «brute force»-angrep går ut på at angriperen prøver mange vanlige kombinasjoner av brukernavn og passord i håp om å gjette riktig og få tilgang.
Uninett CERT ser også at det foregår utbredt RDP-skanning og et stort antall «brute force»-angrep fra samme trusselaktør mot IP-adresser hos flere andre kunder.
Det er velkjent at RDP er et populært angrepsmål for kriminelle, og en vesentlig andel av vellykkede utpressingsangrep utføres via RDP. Vi oppfordrer derfor til å iverksette tiltak som vanskeliggjør angrep mot maskiner som tilbyr RDP-tjenester.
Relevante tiltak for å sikre RDP kan være:
- Vurder å blokkere generell ekstern tilgang til RDP (blokker innkommende trafikk til TCP port 3389)
- Vurder å kun tillate RDP-oppkobling via VPN e.l.
- Sett begrensninger på hvilke brukere som kan logge inn via RDP
- Sørg for at brukere ikke benytter svake passord (ev. via policy)
- Innfør tofaktorautentisering for RDP-innlogging
- Sett en begrensning på antall innloggingsforsøk («account lockout policy»)
Uninett CERT mottar regelmessig lister fra Shadowserver over IP-adresser i forskningsnettet med åpne og nåbare RDP-tjenester. Vi vil videreformidle lister over relevante IP-adresser til de berørte kundene.
Ta gjerne kontakt med Uninett CERT hvis du har spørsmål.