Groei in Remote Desktop Protocol-aanvallen tijdens Corona-crisis

Criminelen zien hun kansen schoon. Cijfers wijzen op een risico voor bedrijven die vanwege de COVID-19-uitbraak op afstand werken via het Remote Desktop Protocol en dat in alle haast hebben gefaciliteerd.

Het SANS Institute heeft in maart 2020 een toename van 30% vastgesteld van het aantal aanvallen op Remote Desktop Protocol-servers. Die stijging valt samen met een aanzienlijke toename van blootgestelde RDP-servers, zoals gemeten door zoekmachine Shodan, waarmee ge­bruikers op het internet kunnen zoeken naar on­be­veiligde apparaten.

De bevindingen (voor maart 2020 al) zijn zorgwekkend, aangezien ze ook samenvallen met de enorme toename van bedrijven die werknemers vanuit huis laten werken om zo te voldoen aan het sociaal afstand houden ten tijde van COVID-19. Om werknemers in staat te stellen hun werk vanuit thuis voort te zetten, hebben organisaties Remote Desktop Protocol-servers geïmplementeerd die ver­trouwelijke systemen aan het publieke inter­net zouden kunnen blootstellen.

Tijdens de coronacrisis ging men massaal thuiswerken via het Remote Desktop Protocol. Het aantal RDP-aanvallen steeg met 30%.

Het aantal bron-IP-adressen dat aanvallers hebben gebruikt om internet op RDP te scan­nen, nam in maart in vergelijking met de maand ervoor met ongeveer 30% toe. Per maand ligt het gemiddelde voor aanvallen gebruikte IP-adressen op 2600, maar in maart waren dat er zo’n 3540 per dag.

RDP is geen protocol dat op zich krachtig genoeg is om aan het internet te worden blootgesteld. We zien nu dat aanvallers zwakke inloggegevens verhandelen die ze voor die RDP-servers hebben gevonden. Een gecompromitteerde RDP-server kan leiden tot het volledig compromitteren van het blootgestelde systeem en zal waarschijnlijk worden gebruikt om andere systemen bin­nen het betreffende netwerk aan te vallen en te exploiteren.

Remote Desktop Protocol is een door Microsoft ontwikkeld protocol dat een grafische interface biedt om via een netwerk­verbinding contact te maken met andere computers. Het is voor bedrijven een goed­kope en ook relatief eenvoudige manier om telewerken mogelijk te maken. Een gebruiker dient daar RDP-clientsoftware voor te ge­bruiken, terwijl de andere computer RDP-serversoftware moet bieden.

Voor bedrijven die RDP hebben geïm­plementeerd is daarom het advies om unieke, lange en willekeurige wachtwoorden te gebruiken om RDP-servers te beveiligen en, indien mogelijk, alleen toegang via een VPN te verlenen.

Microsoft biedt ook RDP Gateway, dat kan worden gebruikt om een sterk authenticatiebeleid op te zetten. Bedrijven kunnen proberen de toegang tot RDP vanaf specifieke IP-adressen te beperken wanneer er op een bepaald moment geen VPN kan worden geïmplementeerd. Dat kan alleen lastig zijn wanneer de IT-beheerders vanuit huis met dynamische IP-adressen werken.

Een andere optie is om een cloudserver als startpunt te gebruiken. Daarvoor moet de cloudserver op de whitelist worden gezet en veilige protocollen zoals SSH worden gebruikt om verbinding met de cloudserver te maken. Die techniek kan als snelle oplossing werken wanneer bedrijven geen uitvaltijd willen riskeren en iedereen op afstand werkt.

Veel organisaties willen en kunnen het verlies van toegang tot bedrijfskritische systemen natuurlijk niet riskeren. Het wijzi­gen van externe toegang en firewallregels kan leiden tot verlies van toegang, en dat kan in sommige gevallen alleen worden hersteld door iemand op locatie.

Johannes Ullrich

Johannes Ullrich, SANS-fellow en Dean of Research bij SANS Technology Institute. Hij is momenteel verantwoordelijk voor het SANS Internet Storm Center (ISC) en het GIAC Gold programma, heeft een PhD in natuur­kunde van SUNY Albany en is gevestigd in Jacksonville, Florida.Voor meer informatie zie de SANS-website (sans.org/train-with-SANS-NL).