RDS- en TSE-systemen zijn al lange tijd favoriete doelwitten van hackers omdat ze toegang hebben tot waardevolle informatie en relatief gemakkelijk te exploiteren zijn. Een succesvolle aanval kan leiden tot een verscheidenheid aan verwoestende gevolgen, waaronder financiële verliezen, schade aan de merkreputatie en verlies van klantvertrouwen. De meeste organisaties herstellen niet van een grote beveiligingsinbreuk, waardoor het absoluut cruciaal is om uw gebruikers en klanten te beschermen tegen bedreigingen die gericht zijn op applicaties en RDS-serverbestanden.

Remoteverbindingen zijn gemakkelijke doelwitten voor cyberaanvallen

Remote desktop is een veelvoorkomende functie in besturingssystemen. Het stelt een gebruiker in staat om in te loggen op een interactieve sessie met een grafische gebruikersinterface op een extern systeem. Microsoft verwijst naar zijn implementatie van het Remote Desktop Protocol (RDP) als Remote Desktop Services (RDS). Het zou redelijk zijn om aan te nemen dat de meeste beveiligingsrisico's zouden worden genomen door het uitvoeren van een RDS-server , en er waren in het verleden enkele vrij beruchte exploits van, bijvoorbeeld kwetsbaarheid voor pass-the-hash of MITM-aanvallen op niet-versleutelde verbindingen. We herinneren ons waarschijnlijk nog allemaal het uitschakelen Externe ondersteuning en het verwijderen van bijbehorende poortuitzonderingen in firewalls als een van de eerste dingen die we deden bij het installeren van Windows. Maar de risico's die gepaard gaan met het gebruik van een RDP-client lijken niet zo vanzelfsprekend. Tegenstanders kunnen verbinding maken met een extern systeem via RDP/RDS om de toegang uit te breiden als de service is ingeschakeld en toegang verleent tot accounts met bekende inloggegevens. Tegenstanders zullen waarschijnlijk technieken voor het verkrijgen van inloggegevens gebruiken om inloggegevens te verwerven voor gebruik met RDP. Ze kunnen RDP ook gebruiken in combinatie met de techniek voor Toegankelijkheidsfuncties voor Volharding. Terwijl je mogelijk geen documentatie kunt vinden over zelf-propagaterende exploits (d.w.z. virussen, trojaanse paarden of wormen) die misbruik maken van Remote Desktop Verbindingen door het gebruik van de bijgewerkte RDP-protocolclients zijn er nog steeds enkele risico's verbonden aan het verbinden met RDP-servers:

• Gebruikersactiviteit volgen en toetsaanslagen registreren In wezen kan een RDP-server al uw activiteiten erop loggen, inclusief de websites die u bezoekt, bestanden die u hebt gedownload, documenten die u hebt geopend en gewijzigd, wachtwoorden die u hebt ingevoerd om toegang te krijgen tot externe diensten via de RDP-server, kortom, het kan uw volledige gebruikerssessie bijhouden.

• Infectie van de cliënt via op afstand gehoste bestanden Elke bestand dat je downloadt van de server die een RDP-sessie host, kan zijn gemanipuleerd of geïnfecteerd met malware. Je zou ten onrechte op een van die bestanden kunnen vertrouwen, denkende dat, aangezien je ze hebt gedownload tijdens je vorige RDP-sessie, ze in de tussentijd niet zijn gemanipuleerd of geïnfecteerd terwijl je ze naar je RDP-client overbracht en opende/uitvoerde/...

• Man-in-the-middle (MITM-aanval) Vergelijkbaar met de activiteitstracking van de gebruiker, is de aanvaller deze keer actief op de RDP-server waarmee je verbinding maakt en luistert hij naar je RDP-client naar RDP-serververbinding, RDP-server naar externe LAN/WAN-verbindingen, of mogelijk beide. Naast het kunnen inspecteren van de inhoud van uitgewisselde netwerkpakketten, kan de man-in-the-middle ook hun inhoud wijzigen. De RDP-sessie kan worden versleuteld met TLS, wat effectief afluisteren voorkomt, maar dat is niet noodzakelijkerwijs het geval waar je ook verbinding mee maakt (externe LAN of WAN) met behulp van de RDP-server.

• Social engineering aanvallen U kunt het slachtoffer worden van een aanval door sociale manipulatie waarbij de aanvaller uw vertrouwen wint onder valse voorwendselen en u misleidt om een RDP-serveradres in te voeren dat u gelooft te kunnen vertrouwen in uw RDP-client terwijl u een nieuwe sessie opzet, maar het adres dat u hebt ingevoerd is eigenlijk van de keuze van de aanvaller. De aanvaller kan een RDP-server op dat adres hosten met als enige doel uw inloggegevens vast te leggen voor een andere, echte RDP-server waarmee u van plan was verbinding te maken.

Bescherm uw RDS-server tegen kwaadwillende personen

We hebben waarschijnlijk veel andere mogelijkheden om het vertrouwen van gebruikers in de RDP-server waarmee ze een sessie opzetten te misbruiken over het hoofd gezien, maar de gebruiker gaat toch vanuit dat vertrouwen, zonder het potentiële gevaar daarvan te zien. Deze vier voorbeeldaanvalsvectoren zouden hopelijk voldoende moeten zijn om aan te tonen dat er een duidelijke behoefte is aan het gebruik van RDS-Knight om brute force-aanvallen te voorkomen en uw RDS-servers te beschermen. RDS-Knight beveiligingsoplossing bestaat uit een robuuste en geïntegreerde set van beveiligingsfuncties om te beschermen tegen deze Remote Desktop-aanvallen. Wij zijn het enige bedrijf dat een complete oplossing biedt met de bewezen prestaties en beveiligingseffectiviteit om te voldoen aan de toenemende eisen van gehoste RDS-servers.