Felhasználói figyelmeztetés: A kiberbűnözők tudják, hogy távoli asztali rendszereket használ.

Az RDS és a TSE rendszerek régóta a hackerek kedvenc célpontjai, mivel hozzáféréssel bírnak értékes információkhoz, és viszonylag könnyen kihasználhatók. Egy sikeres támadás számos pusztító következménnyel járhat, beleértve a pénzügyi veszteséget, a márka hírnevének károsodását és az ügyfélbizalom elvesztését. A legtöbb szervezet nem épül fel egy jelentős biztonsági résből, ezért rendkívül fontos, hogy megvédje felhasználóit és ügyfeleit az alkalmazásokat és az RDS szerverfájlokat célzó fenyegetésektől.

A távoli kapcsolatok könnyű célpontok a kibertámadások számára

A távoli asztal egy gyakori funkció az operációs rendszerekben. Lehetővé teszi a felhasználó számára, hogy interaktív munkamenetbe lépjen egy grafikus felhasználói felületen egy távoli rendszeren. A Microsoft a Távoli Asztali Protokoll (RDP) megvalósítását Távoli Asztali Szolgáltatásoknak (RDS) nevezi. Meglehetősen ésszerű lenne feltételezni, hogy a biztonsági kockázatok többségét a futtatás során vállalják. RDS szerver , és voltak elég hírhedt kihasználások a múltban, például a pass-the-hash vagy MITM támadások sebezhetősége a nem titkosított kapcsolatokon. Valószínűleg még mindannyian emlékszünk a letiltásra Távoli segítségnyújtás és a tűzfalakban a kapcsolódó portkivétel eltávolítása volt az egyik első dolog, amit a Windows telepítésekor tettünk. De a használatával járó kockázatok egy RDP kliens nem tűnik annyira nyilvánvalónak. Az ellenfelek csatlakozhatnak egy távoli rendszerhez RDP/RDS-en keresztül, hogy bővítsék a hozzáférést, ha a szolgáltatás engedélyezve van, és lehetővé teszi a hozzáférést ismert hitelesítő adatokkal rendelkező fiókokhoz. Az ellenfelek valószínűleg hitelesítő adatok megszerzésére irányuló technikákat fognak használni, hogy hitelesítő adatokat szerezzenek be az RDP-hez. Ezenkívül az RDP-t a Megközelíthetőségi Funkciók technikával együtt is használhatják a tartósság érdekében. Míg nem fogsz tudni dokumentációt találni az önterjedő kihasználásokkal (azaz vírusok, trójaiak vagy férgek) kapcsolatban, amelyek kihasználják a Távvezérlő asztali kapcsolatok az aktualizált RDP protokoll kliensek használatával még mindig vannak kockázatok az RDP szerverekhez való csatlakozás során:

• Felhasználói tevékenység nyomon követése és billentyűzetfigyelés Lényegében egy RDP szerver naplózhatja az összes tevékenységedet rajta, beleértve a meglátogatott weboldalakat, a letöltött fájlokat, a megnyitott és módosított dokumentumokat, a jelszavakat, amelyeket a távoli szolgáltatásokhoz való hozzáféréshez adtál meg az RDP szerveren keresztül, lényegében nyomon követve a teljes felhasználói munkamenetedet.

• A kliens fertőzése távoli hosztolt fájlokon keresztül Bármely fájl, amelyet a RDP munkamenetet hosztoló szerverről töltesz le, manipulálva lehet, vagy rosszindulatú szoftverrel fertőzött. Hamisan bízhatsz bármelyik fájlban, azt gondolva, hogy mivel azokat a korábbi RDP munkameneted során töltötted le, nem manipulálták vagy fertőzték meg őket azóta, miközben átvitted őket az RDP kliensedre és megnyitottad/végrehajtottad őket.

• Középső ember (MITM támadás) Hasonlóan a felhasználói tevékenység nyomon követéséhez, ezúttal a támadó aktív az RDP szerveren, amelyhez csatlakozik, és figyeli az RDP kliens és az RDP szerver közötti kapcsolatot, az RDP szerver és a távoli LAN/WAN kapcsolatok, vagy esetleg mindkettőt. A cserélt hálózati csomagok tartalmának ellenőrzése mellett a középső ember képes megváltoztatni azok tartalmát is. Az RDP munkamenet titkosítható TLS használatával, ami hatékonyan megakadályozza a lehallgatást, de ez nem feltétlenül igaz mindenhol, ahová csatlakozik (távoli LAN vagy WAN) az RDP szerver használatával.
• Társadalmi mérnöki támadások Lehetséges, hogy egy szociális manipulációs támadás áldozata leszel, ahol a támadó hamis indokkal megszerzi a bizalmadat, és rávett arra, hogy egy RDP szerver címet adj meg, amelyről azt hiszed, hogy megbízható az RDP kliensedben, miközben új munkamenetet hozol létre, de a megadott cím valójában a támadó választása. A támadó ezen a címen RDP szervert üzemeltethet, kizárólag azzal a céllal, hogy rögzítse a bejelentkezési adataidat egy másik, valódi RDP szerverhez, amelyhez csatlakozni szerettél volna.

Védje meg RDS szerverét minden rosszindulatú embertől

Valószínűleg sok más lehetőséget kihagytunk, amelyekkel visszaélhetnek a felhasználók bizalmával az RDP szerveren, amellyel kapcsolatot létesítenek, de a felhasználó ennek ellenére feltételezi ezt a bizalmat, nem észlelve a potenciális veszélyt. Ezek a négy példabeli támadási vektor remélhetőleg elegendőek ahhoz, hogy bemutassák, hogy egyértelmű szükség van a használatra. RDS-Knight a brute force támadások megelőzése és az RDS szerverek védelme érdekében. Az RDS-Knight biztonsági megoldás egy robusztus és integrált biztonsági funkciókészletből áll, amely védi ezeket a Remote Desktop támadások ellen. Mi vagyunk az egyetlen cég, amely teljes megoldást kínál a bizonyított teljesítménnyel és biztonsági hatékonysággal, hogy megfeleljen a hosztolt RDS szerverek növekvő igényeinek.