Utilisateur, attention : les cybercriminels savent que vous utilisez des systèmes de bureau à distance.

Les systèmes RDS et TSE ont longtemps été des cibles privilégiées des hackers car ils ont accès à des informations précieuses et sont relativement faciles à exploiter. Une attaque réussie peut entraîner une variété de conséquences dévastatrices, y compris des pertes financières, des dommages à la réputation de la marque et une perte de confiance des clients. La plupart des organisations ne se remettent pas d'une violation majeure de la sécurité, ce qui rend absolument crucial de protéger vos utilisateurs et clients contre les menaces qui ciblent les applications et les systèmes de fichiers des serveurs RDS.

Les connexions à distance sont des cibles faciles pour les cyberattaques

Le bureau à distance est une fonctionnalité courante dans les systèmes d'exploitation. Il permet à un utilisateur de se connecter à une session interactive avec une interface graphique sur un système distant. Microsoft fait référence à son implémentation du protocole de bureau à distance (RDP) en tant que services de bureau à distance (RDS). Il serait raisonnable de supposer que la majorité des risques de sécurité seraient encourus en exécutant un RDS server , et il y a eu quelques exploits assez infâmes dans le passé, par exemple la vulnérabilité aux attaques pass-the-hash ou MITM sur des connexions non chiffrées. Nous nous souvenons probablement tous de la désactivation Assistance à distance et en supprimant les exceptions de port associées dans les pare-feu comme l'une des premières choses que nous avons faites lors de l'installation de Windows. Mais les risques liés à l'utilisation d'un client RDP ne semblent pas si évidents. Les adversaires peuvent se connecter à un système distant via RDP/RDS pour étendre l'accès si le service est activé et permet l'accès à des comptes avec des identifiants connus. Les adversaires utiliseront probablement des techniques d'accès aux identifiants pour acquérir des identifiants à utiliser avec RDP. Ils peuvent également utiliser RDP en conjonction avec la technique des fonctionnalités d'accessibilité pour la persistance. Bien que vous ne puissiez pas trouver de documentation sur les exploits auto-propagants (c'est-à-dire les virus, chevaux de Troie ou vers) tirant parti de Connexions de bureau à distance par l'utilisation des clients de protocole RDP mis à jour, il existe encore certains risques liés à la connexion aux serveurs RDP :

• Suivi de l'activité des utilisateurs et enregistrement des touches En essence, un serveur RDP pourrait enregistrer toutes vos activités dessus, y compris les sites web que vous consultez, les fichiers que vous téléchargez, les documents auxquels vous accédez et qui ont été modifiés, les mots de passe que vous saisissez pour accéder aux services distants via le serveur RDP, en gros, garder une trace de votre session utilisateur complète.

• Infection du client par des fichiers hébergés à distance Tout fichier que vous téléchargez depuis le serveur hébergeant une session RDP pourrait être altéré ou infecté par un logiciel malveillant. Vous pourriez vous fier à tort à l'un de ces fichiers, pensant que puisque vous les avez téléchargés lors de votre précédente session RDP, ils n'avaient pas été altérés ou infectés entre-temps, pendant que vous les transfériez vers votre client RDP et les ouvriez/exécutiez/...

• Attaque de l'homme du milieu (MITM) Semblable au suivi d'activité de l'utilisateur, cette fois l'attaquant est actif sur le serveur RDP auquel vous vous connectez et écoute votre connexion client RDP au serveur RDP, les connexions du serveur RDP au LAN / WAN distant, ou peut-être les deux. En plus de pouvoir inspecter le contenu des paquets réseau échangés, l'homme du milieu peut également modifier leur contenu. La session RDP peut être chiffrée à l'aide de TLS, empêchant effectivement l'écoute, mais ce n'est pas nécessairement le cas partout où vous vous connectez (LAN ou WAN distant) en utilisant le serveur RDP.
• Attaques d'ingénierie sociale Vous pourriez être victime d'une attaque d'ingénierie sociale où l'attaquant gagne votre confiance sous de faux prétextes et vous trompe en vous incitant à entrer une adresse de serveur RDP que vous croyez fiable dans votre client RDP lors de l'établissement d'une nouvelle session, mais l'adresse que vous avez saisie est en réalité celle choisie par l'attaquant. L'attaquant pourrait héberger un serveur RDP à cette adresse dans le seul but d'enregistrer vos identifiants de connexion pour un autre serveur RDP réel auquel vous aviez l'intention de vous connecter.

Protégez votre serveur RDS contre toute personne malveillante

Nous avons probablement omis de nombreuses autres possibilités d'abuser de la confiance des utilisateurs sur le serveur RDP avec lequel ils établissent une session, mais l'utilisateur suppose cette confiance de toute façon, ne voyant pas le danger potentiel à le faire. Ces quatre exemples de vecteurs d'attaque devraient suffire à démontrer qu'il y a un besoin clair d'utiliser RDS-Knight pour prévenir les attaques par force brute et protéger vos serveurs RDS. La solution de sécurité RDS-Knight se compose d'un ensemble robuste et intégré de fonctionnalités de sécurité pour se protéger contre ces attaques de bureau à distance. Nous sommes la seule entreprise à proposer une solution complète avec des performances éprouvées et une efficacité en matière de sécurité pour répondre aux demandes croissantes des serveurs RDS hébergés.