RDS og TSE-systemer har lenge vært favorittmål for hackere fordi de har tilgang til verdifull informasjon og de er relativt enkle å utnytte. Et vellykket angrep kan resultere i en rekke ødeleggende konsekvenser, inkludert økonomisk tap, skade på merkevarens omdømme og tap av kundetillit. De fleste organisasjoner kommer ikke seg etter et stort sikkerhetsbrudd, noe som gjør det helt kritisk å beskytte brukerne og kundene dine mot trusler som retter seg mot applikasjoner og RDS-serverfilsystemer.

Fjernforbindelser er enkle mål for cyberangrep

Fjernskrivbord er en vanlig funksjon i operativsystemer. Det lar en bruker logge inn på en interaktiv økt med et grafisk brukergrensesnitt på et eksternt system. Microsoft refererer til sin implementering av Remote Desktop Protocol (RDP) som Remote Desktop Services (RDS). Det ville være rimelig å anta at flertallet av sikkerhetsrisikoene ville bli påtatt ved å kjøre en RDS-server , og det var noen ganske beryktede utnyttelser av det i fortiden, for eksempel sårbarhet for pass-the-hash eller MITM-angrep på ikke-krypterte forbindelser. Vi husker sannsynligvis fortsatt alle å ha deaktivert Fjernstøtte og fjerne tilknyttede portunntak i brannmurer som en av de første tingene vi gjorde etter å ha installert Windows. Men risikoene involvert i å bruke en RDP-klient ser ikke så selvinnlysende. Motstandere kan koble seg til et eksternt system via RDP/RDS for å utvide tilgangen hvis tjenesten er aktivert og tillater tilgang til kontoer med kjente legitimasjoner. Motstandere vil sannsynligvis bruke teknikker for tilgang til legitimasjoner for å skaffe legitimasjoner som kan brukes med RDP. De kan også bruke RDP i kombinasjon med teknikken for tilgjengelighetsfunksjoner for vedvarende tilgang. Mens du ikke vil kunne finne dokumentasjon om selvpropagerende utnyttelser (dvs. virus, trojanere eller ormer) som utnytter Fjernskrivbordstilkoblinger gjennom bruk av de oppdaterte RDP-protokollklientene, er det fortsatt noen risikoer forbundet med tilkobling til RDP-servere:

• Brukeraktivitetssporing og tastelogging I essensen kan en RDP-server logge alle aktivitetene dine på den, inkludert nettsteder du besøker, filer du laster ned, dokumenter du får tilgang til og endrer, passordene du skriver inn for å få tilgang til eksterne tjenester gjennom RDP-serveren, og i hovedsak holde oversikt over hele brukersesjonen din.

• Infeksjon av klient gjennom eksternt hostede filer Enhver fil du laster ned fra serveren som hoster en RDP-økt kan være manipulert eller infisert med skadelig programvare. Du kan feilaktig stole på noen av disse filene, og tro at siden du lastet dem ned under din forrige RDP-økt, ikke ble de manipulert eller infisert i mellomtiden, mens du overførte dem til din RDP-klient og åpnet/kjørte/...

• Man-in-the-middle (MITM-angrep) Lignende brukerens aktivitetsoppfølging, bare denne gangen er angriperen aktiv på RDP-serveren du kobler til og lytter på RDP-klienten din til RDP-serverforbindelsen, RDP-server til ekstern LAN / WAN-forbindelser, eller muligens begge. I tillegg til å kunne inspisere innholdet i utvekslede nettverkspakker, kan mannen i midten også endre innholdet deres. RDP-økten kan krypteres ved hjelp av TLS, noe som effektivt forhindrer avlytting av den, men det er ikke nødvendigvis tilfelle hvor som helst du kobler til (ekstern LAN eller WAN) ved hjelp av RDP-serveren.

• Sosial ingeniørangrep Du kan være et offer for et sosialt ingeniørangrep der angriperen får din tillit under falske forutsetninger, og lurer deg til å skrive inn en RDP-serveradresse som du tror kan være pålitelig i RDP-klienten din mens du oppretter en ny økt, men adressen du skrev inn er faktisk valgt av angriperen. Angriperen kan hoste en RDP-server på den adressen med det eneste formål å registrere påloggingsinformasjonen din for en annen, ekte RDP-server du hadde til hensikt å koble til.

Beskytt RDS-serveren din mot ondsinnede personer

Vi har sannsynligvis utelatt mange andre muligheter for å misbruke brukernes tillit til RDP-serveren de oppretter en økt med, men brukeren antar likevel denne tilliten, og unnlater å se den potensielle faren ved å gjøre det. Disse fire eksemplene på angrepsvektorer bør forhåpentligvis være nok til å demonstrere at det er et klart behov for å bruke RDS-Knight for å forhindre brute force-angrep og for å beskytte RDS-serverne dine. RDS-Knight sikkerhetsløsning består av et robust og integrert sett med sikkerhetsfunksjoner for å beskytte mot disse angrepene på Remote Desktop. Vi er det eneste selskapet som leverer en komplett løsning med dokumentert ytelse og sikkerhetseffektivitet for å møte de økende kravene til hostede RDS-servere.