Remote desktop protocol (rdp) blijft een nachtmerrie voor systeemadministrators en it-managers. Bij de grootste ransomware-aanvallen in het afgelopen jaar – Matrix en SamSam – werd rdp ingezet.
Dat blijkt uit recent onderzoek van Sophos. De security-problemen met het protocol zijn evenwel niet nieuw. Het beveiligingsbedrijf rapporteert, naar eigen zeggen, al sinds 2011 over cybercriminelen die rdp uitbuiten.
Het remote desktop protocol-onderzoek laat zien hoe aanvallers rdp-apparatuur vinden zodra deze apparaten online komen. Om dit te demonstreren, heeft Sophos tien geografisch verspreide honeypots ingezet om rdp-gebaseerde risico’s te meten en te kwantificeren. Alle tien honeypots ontvingen binnen één dag hun eerste rdp-inlogpoging.
De tien rdp-honeypots kregen gecombineerd 4.298.513 mislukte inlogpogingen gedurende een periode van dertig dagen. Ofwel: één poging elke zes seconden. Ook bleek dat het remote desktop protocol de pc’s in slechts 84 seconden kon blootstellen.
BlueKeep
De mogelijke problemen rond rdp zijn niet nieuw. Onlangs raakte een fout in de remote rdp-code BlueKeep (oftewel CVE-2019-0708) breed bekend. ‘Deze kwetsbaarheid is zo ernstig is dat het kan worden gebruikt om ransomware-uitbraken in gang te zetten die zich in no-time over de hele wereld kunnen verspreiden’, beweert Matt Boddy, securityspecialist bij Sophos.
De beveiliging tegen rdp-dreigingen gaat, volgens hem, veel verder dan patchen tegen Blue Keep. ‘Het is slechts het topje van de ijsberg. Los van BlueKeep moeten it-managers veel meer tijd besteden aan rdp’, meent hij.
Drie patronen
Sophos heeft op basis van het onderzoek drie aanvalspatronen geïdentificeerd, die het zelf omschrijft als ram, zwerm of egel.
De ram is een criminele strategie om het wachtwoord van de systeemadministrator te onthullen, bijvoorbeeld binnen een tijd van tien dagen ruim honderdduizend inlogpogingen met een beperkt aantal gebruikersnamen.
De egel kenmerkt zich door uitbarstingen van activiteiten gevolgd door langere perioden van inactiviteit. De zwerm is tenslotte een strategie die gebruikmaakt van sequentiële gebruikersnamen en een eindig aantal van de slechtste wachtwoorden. Of hoe drie patronen (en één protocol) voor onheil kunnen zorgen.
Tja… niet zo handig dergelijke systemen die know to be inherent lek zijn direct aan het internet te hangen.
Kan toch niet zo moeilijk zijn een gedegen doosje ernaast te zetten en als zodanig dat spul via een VPS te bezoeken.