Пользователь, будьте осторожны: киберпреступники знают, что вы используете системы удаленного рабочего стола.

Системы RDS и TSE давно являются любимыми целями хакеров, поскольку они имеют доступ к ценным данным и относительно легко поддаются эксплуатации. Успешная атака может привести к различным разрушительным последствиям, включая финансовые потери, ущерб репутации бренда и утрату доверия клиентов. Большинство организаций не восстанавливаются после серьезного нарушения безопасности, что делает абсолютно критически важным защиту ваших пользователей и клиентов от угроз, нацеленных на приложения и файлы серверов RDS.

Удаленные подключения являются легкой мишенью для кибератак

Удаленный рабочий стол является распространенной функцией в операционных системах. Он позволяет пользователю войти в интерактивную сессию с графическим пользовательским интерфейсом на удаленной системе. Microsoft называет свою реализацию Протокола удаленного рабочего стола (RDP) Службами удаленного рабочего стола (RDS). Было бы вполне разумно предположить, что большинство рисков безопасности возникает при запуске a RDS сервер и в прошлом были некоторые довольно печально известные уязвимости, например, уязвимость к атакам pass-the-hash или MITM на незащищенных соединениях. Мы, вероятно, все еще помним о отключении Удаленная помощь и удаление связанных исключений портов в брандмауэрах было одним из первых шагов, которые мы предприняли после установки Windows. Но риски, связанные с использованием a RDP клиент не кажется таким очевидным. Противники могут подключаться к удаленной системе через RDP/RDS, чтобы расширить доступ, если служба включена и позволяет доступ к учетным записям с известными учетными данными. Противники, вероятно, будут использовать техники доступа к учетным данным, чтобы получить учетные данные для использования с RDP. Они также могут использовать RDP в сочетании с техникой доступности для постоянства. Хотя вы не сможете найти документацию о самораспространяющихся эксплойтах (т.е. вирусах, троянах или червях), использующих Подключения к удаленному рабочему столу через использование обновленных клиентов протокола RDP все еще существуют некоторые риски, связанные с подключением к серверам RDP:

• Отслеживание активности пользователей и запись клавиш По сути, RDP сервер может записывать все ваши действия на нем, включая веб-сайты, которые вы просматриваете, файлы, которые вы скачали, документы, к которым вы получили доступ и которые были изменены, пароли, которые вы вводили для доступа к удаленным сервисам через RDP сервер, в основном отслеживая вашу полную пользовательскую сессию.

• Инфекция клиента через удаленные хостинг-файлы Любые файлы, которые вы загружаете с сервера, на котором проходит RDP-сессия, могут быть изменены или заражены вредоносным ПО. Вы можете ошибочно полагаться на любые из этих файлов, думая, что поскольку вы загрузили их во время вашей предыдущей RDP-сессии, они не были изменены или заражены в это время, пока вы передавали их на ваш RDP-клиент и открывали/выполняли/...

• Атака "человек посередине" (MITM) Похожие на отслеживание активности пользователя, только на этот раз злоумышленник активен на RDP-сервере, к которому вы подключаетесь, и подслушивает ваше соединение RDP-клиента с RDP-сервером, соединения RDP-сервера с удаленной локальной сетью / WAN или, возможно, оба. Кроме того, что он может проверять содержимое обмена сетевыми пакетами, злоумышленник также может изменять их содержимое. Сессия RDP может быть зашифрована с использованием TLS, что эффективно предотвращает подслушивание, но это не обязательно так везде, куда вы подключаетесь (удаленная локальная сеть или WAN) с использованием RDP-сервера.
• Атаки социальной инженерии Вы можете стать жертвой атаки социального инженерства, когда злоумышленник завоевывает ваше доверие под ложным предлогом и обманывает вас, заставляя ввести адрес RDP-сервера, которому вы верите, что можно доверять в вашем RDP-клиенте при установлении новой сессии, но введенный вами адрес на самом деле выбран злоумышленником. Злоумышленник может разместить RDP-сервер по этому адресу с единственной целью записать ваши учетные данные для входа на другой, настоящий RDP-сервер, к которому вы собирались подключиться.

Защитите свой RDS сервер от любых злонамеренных людей

Мы, вероятно, упустили множество других возможностей злоупотребления доверием пользователей к RDP-серверу, с которым они устанавливают сеанс, но пользователь все равно предполагает это доверие, не замечая потенциальной опасности в этом. Эти четыре примера векторов атак, надеемся, будут достаточно, чтобы продемонстрировать, что существует явная необходимость в использовании RDS-Knight чтобы предотвратить атаки методом подбора и защитить ваши RDS серверы. RDS-Knight Security solution состоит из надежного и интегрированного набора функций безопасности для защиты от этих атак на удаленный рабочий стол. Мы единственная компания, которая предлагает полное решение с проверенной производительностью и эффективностью безопасности для удовлетворения растущих требований к размещенным серверам RDS.