Χρήστες προσοχή: Οι κυβερνοεγκληματίες γνωρίζουν ότι χρησιμοποιείτε συστήματα απομακρυσμένης επιφάνειας εργασίας

Τα συστήματα RDS και TSE έχουν εδώ και καιρό αγαπημένους στόχους των χάκερ, καθώς έχουν πρόσβαση σε πολύτιμες πληροφορίες και είναι σχετικά εύκολα στην εκμετάλλευση. Μια επιτυχής επίθεση μπορεί να έχει ποικιλία καταστροφικών συνεπειών, συμπεριλαμβανομένης της οικονομικής απώλειας, της ζημιάς στη φήμη της μάρκας και της απώλειας εμπιστοσύνης των πελατών. Οι περισσότερες οργανώσεις δεν ανακάμπτουν από μια σοβαρή παραβίαση ασφάλειας, καθιστώντας απολύτως κρίσιμο να προστατεύσετε τους χρήστες και τους πελάτες σας από απειλές που στοχεύουν σε εφαρμογές και αρχεία συστημάτων RDS.

Οι απομακρυσμένες συνδέσεις είναι εύκολοι στόχοι για κυβερνοεπιθέσεις

Η απομακρυσμένη επιφάνεια εργασίας είναι μια κοινή δυνατότητα στα λειτουργικά συστήματα. Επιτρέπει σε έναν χρήστη να συνδεθεί σε μια διαδραστική συνεδρία με γραφικό περιβάλλον χρήστη σε ένα απομακρυσμένο σύστημα. Η Microsoft αναφέρεται στην υλοποίηση του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP) ως Υπηρεσίες Απομακρυσμένης Επιφάνειας Εργασίας (RDS). Θα ήταν αρκετά λογικό να υποθέσουμε ότι η πλειονότητα των κινδύνων ασφαλείας θα αναλαμβάνονταν με την εκτέλεση ενός RDS server , και υπήρξαν μερικές αρκετά διαβόητες εκμεταλλεύσεις του στο παρελθόν, για παράδειγμα η ευπάθεια σε επιθέσεις pass-the-hash ή MITM σε μη κρυπτογραφημένες συνδέσεις. Πιθανώς όλοι μας θυμόμαστε ακόμα την απενεργοποίηση Απομακρυσμένη Υποστήριξη και αφαιρώντας τις σχετικές εξαιρέσεις θυρών στα τείχη προστασίας ως ένα από τα πρώτα πράγματα που κάναμε κατά την εγκατάσταση των Windows. Αλλά οι κίνδυνοι που σχετίζονται με τη χρήση ενός πελάτης RDP δεν φαίνονται τόσο αυτονόητα. Οι αντίπαλοι μπορεί να συνδεθούν σε ένα απομακρυσμένο σύστημα μέσω RDP/RDS για να επεκτείνουν την πρόσβαση αν η υπηρεσία είναι ενεργοποιημένη και επιτρέπει την πρόσβαση σε λογαριασμούς με γνωστά διαπιστευτήρια. Οι αντίπαλοι πιθανότατα θα χρησιμοποιήσουν τεχνικές πρόσβασης διαπιστευτηρίων για να αποκτήσουν διαπιστευτήρια για χρήση με RDP. Μπορεί επίσης να χρησιμοποιήσουν το RDP σε συνδυασμό με την τεχνική χαρακτηριστικών προσβασιμότητας για επιμονή. Ενώ δεν θα μπορείτε να βρείτε τεκμηρίωση για αυτο-διαδίδοντα exploits (δηλαδή ιούς, τροjans ή σκουλήκια) που εκμεταλλεύονται Συνδέσεις Απομακρυσμένης Επιφάνειας Εργασίας μέσω της χρήσης των ενημερωμένων πελατών πρωτοκόλλου RDP, εξακολουθούν να υπάρχουν ορισμένοι κίνδυνοι που σχετίζονται με τη σύνδεση σε διακομιστές RDP:

• Παρακολούθηση δραστηριότητας χρήστη και καταγραφή πλήκτρων Στην ουσία, ένας διακομιστής RDP θα μπορούσε να καταγράψει όλες τις δραστηριότητές σας σε αυτόν, συμπεριλαμβανομένων των ιστοσελίδων που επισκέπτεστε, των αρχείων που κατεβάσατε, των εγγράφων που προσπελάσατε και άλλαξαν, των κωδικών πρόσβασης που εισάγατε για να αποκτήσετε πρόσβαση σε απομακρυσμένες υπηρεσίες μέσω του διακομιστή RDP, βασικά να παρακολουθεί την πλήρη συνεδρία χρήστη σας.

• Μόλυνση πελάτη μέσω απομακρυσμένων φιλοξενούμενων αρχείων Οποιαδήποτε αρχεία κατεβάσετε από τον διακομιστή που φιλοξενεί μια συνεδρία RDP θα μπορούσαν να έχουν παραποιηθεί ή να είναι μολυσμένα με κακόβουλο λογισμικό. Θα μπορούσατε να βασιστείτε ψευδώς σε οποιοδήποτε από αυτά τα αρχεία, πιστεύοντας ότι, αφού τα κατεβάσατε κατά τη διάρκεια της προηγούμενης συνεδρίας RDP, δεν είχαν παραποιηθεί ή μολυνθεί εν τω μεταξύ, ενώ τα μεταφέρατε στον πελάτη RDP σας και τα ανοίξατε/εκτελέσατε/...

• Επίθεση man-in-the-middle (MITM) Παρόμοια με την παρακολούθηση δραστηριότητας του χρήστη, μόνο που αυτή τη φορά ο επιτιθέμενος είναι ενεργός στον διακομιστή RDP στον οποίο συνδέεστε και ακούει τη σύνδεση του πελάτη RDP με τον διακομιστή RDP, τις συνδέσεις του διακομιστή RDP με το απομακρυσμένο LAN / WAN ή πιθανώς και τα δύο. Εκτός από το ότι μπορεί να επιθεωρήσει τα περιεχόμενα των ανταλλασσόμενων πακέτων δικτύου, ο άνθρωπος στη μέση μπορεί επίσης να αλλάξει τα περιεχόμενά τους. Η συνεδρία RDP μπορεί να κρυπτογραφηθεί χρησιμοποιώντας TLS, αποτρέποντας αποτελεσματικά την υποκλοπή της, αλλά αυτό δεν ισχύει απαραίτητα οπουδήποτε συνδέεστε (απομακρυσμένο LAN ή WAN) χρησιμοποιώντας τον διακομιστή RDP.
• Επιθέσεις κοινωνικής μηχανικής Μπορεί να είστε θύμα μιας επίθεσης κοινωνικής μηχανικής, όπου ο επιτιθέμενος αποκτά την εμπιστοσύνη σας υπό ψευδείς προφάσεις και σας εξαπατά να εισάγετε μια διεύθυνση RDP server που πιστεύετε ότι μπορεί να είναι αξιόπιστη στον πελάτη RDP σας κατά την εγκαθίδρυση μιας νέας συνεδρίας, αλλά η διεύθυνση που εισάγατε είναι στην πραγματικότητα επιλογής του επιτιθέμενου. Ο επιτιθέμενος θα μπορούσε να φιλοξενήσει έναν RDP server σε αυτή τη διεύθυνση με μοναδικό σκοπό να καταγράψει τα διαπιστευτήρια σύνδεσής σας για έναν άλλο, πραγματικό RDP server στον οποίο σκοπεύατε να συνδεθείτε.

Προστατέψτε τον RDS Server σας από οποιονδήποτε κακόβουλο άνθρωπο

Πιθανώς έχουμε παραλείψει πολλές άλλες δυνατότητες κατάχρησης της εμπιστοσύνης των χρηστών στον RDP server με τον οποίο δημιουργούν μια συνεδρία, αλλά ο χρήστης υποθέτει αυτή την εμπιστοσύνη ούτως ή άλλως, αποτυγχάνοντας να δει τον πιθανό κίνδυνο που προκύπτει από αυτό. Αυτοί οι τέσσερις παραδείγματα επιθέσεων θα πρέπει να είναι αρκετοί για να αποδείξουν ότι υπάρχει σαφής ανάγκη για τη χρήση RDS-Knight για να αποτρέψετε επιθέσεις brute force και να προστατεύσετε τους διακομιστές RDS σας. Η λύση ασφαλείας RDS-Knight αποτελείται από ένα ισχυρό και ολοκληρωμένο σύνολο χαρακτηριστικών ασφαλείας για την προστασία από αυτές τις επιθέσεις Remote Desktop. Είμαστε η μοναδική εταιρεία που προσφέρει μια ολοκληρωμένη λύση με αποδεδειγμένη απόδοση και αποτελεσματικότητα ασφάλειας για να καλύψει τις αυξανόμενες απαιτήσεις των φιλοξενούμενων RDS διακομιστών.