RDS och TSE-system har länge varit favoritmål för hackare eftersom de har tillgång till värdefull information och de är relativt lätta att utnyttja. En framgångsrik attack kan resultera i en mängd förödande konsekvenser, inklusive ekonomiska förluster, skador på varumärkets rykte och förlust av kundernas förtroende. De flesta organisationer återhämtar sig inte från ett stort säkerhetsintrång, vilket gör det absolut avgörande att skydda dina användare och kunder från hot som riktar sig mot applikationer och RDS-serverfilsystem.

Fjärranslutningar är lätta mål för cyberattacker

Fjärrskrivbord är en vanlig funktion i operativsystem. Det gör det möjligt för en användare att logga in på en interaktiv session med ett grafiskt användargränssnitt på ett fjärrsystem. Microsoft hänvisar till sin implementering av Remote Desktop Protocol (RDP) som Remote Desktop Services (RDS). Det skulle vara ganska rimligt att anta att majoriteten av säkerhetsriskerna skulle tas genom att köra en RDS-server , och det fanns några ganska beryktade utnyttjanden av det i det förflutna, till exempel sårbarhet för pass-the-hash eller MITM-attacker på oenkrypterade anslutningar. Vi minns förmodligen fortfarande att vi inaktiverade Fjärrhjälp och ta bort relaterade portundantag i brandväggar som en av de första sakerna vi gjorde vid installationen av Windows. Men riskerna som är förknippade med att använda en RDP-klient tycks inte så självklart. Motståndare kan ansluta till ett fjärrsystem via RDP/RDS för att utöka åtkomsten om tjänsten är aktiverad och tillåter åtkomst till konton med kända referenser. Motståndare kommer sannolikt att använda tekniker för referensåtkomst för att skaffa referenser att använda med RDP. De kan också använda RDP i kombination med tekniken för tillgänglighetsfunktioner för beständighet. Medan du inte kommer att kunna hitta dokumentation om självpropagerande utnyttjanden (d.v.s. virus, trojaner eller maskar) som utnyttjar Fjärrskrivbordsanslutningar genom användning av de uppdaterade RDP-protokollklienterna finns det fortfarande vissa risker med att ansluta till RDP-servrar:

• Användaraktivitetsspårning och tangentbordsloggning I huvudsak kan en RDP-server logga alla dina aktiviteter på den, inklusive webbplatser du besöker, filer du laddade ner, dokument du fick åtkomst till och ändrade, lösenord du angav för att få åtkomst till fjärrtjänster via RDP-servern, i princip hålla reda på din kompletta användarsession.

• Infektion av klient genom fjärrhostade filer Eventuella filer du laddar ner från servern som värdar en RDP-session kan ha manipulerats eller infekterats med skadlig programvara. Du kan felaktigt lita på någon av dessa filer, och tro att eftersom du laddade ner dem under din tidigare RDP-session, så hade de inte manipulerats eller infekterats under tiden, medan du överförde dem till din RDP-klient och öppnade/körde/...

• Man-in-the-middle (MITM attack) Liknande användarens aktivitetsövervakning, är angriparen denna gång aktiv på RDP-servern du ansluter till och lyssnar på din RDP-klient till RDP-serveranslutning, RDP-server till fjärr-LAN/WAN-anslutningar, eller eventuellt båda. Utöver att kunna inspektera innehållet i utbytta nätverkspaket kan man-in-the-middle också ändra deras innehåll. RDP-sessionen kan krypteras med TLS, vilket effektivt förhindrar avlyssning av den, men det är inte nödvändigtvis fallet var du än ansluter (fjärr-LAN eller WAN) med hjälp av RDP-servern.

• Social ingenjörsattacker Du kan bli ett offer för en social ingenjörsattack där angriparen vinner ditt förtroende under falska förespeglingar och lurar dig att ange en RDP-serveradress som du tror kan litas på i din RDP-klient när du etablerar en ny session, men adressen du angav är faktiskt vald av angriparen. Angriparen kan vara värd för en RDP-server på den adressen med det enda syftet att spela in dina inloggningsuppgifter för en annan, verklig RDP-server som du avsåg att ansluta till.

Skydda din RDS-server från alla illvilliga personer

Vi har förmodligen utelämnat många andra möjligheter att missbruka användarnas förtroende för RDP-servern de etablerar en session med, men användaren förutsätter ändå detta förtroende och missar den potentiella faran med att göra så. Dessa fyra exempel på attackvektorer bör förhoppningsvis vara tillräckliga för att visa att det finns ett tydligt behov av att använda RDS-Knight för att förhindra brute force-attacker och skydda dina RDS-servrar. RDS-Knight säkerhetslösning består av en robust och integrerad uppsättning säkerhetsfunktioner för att skydda mot dessa Remote Desktop-attacker. Vi är det enda företaget som levererar en komplett lösning med bevisad prestanda och säkerhetseffektivitet för att möta de ökande kraven på hostade RDS-servrar.