image

FBI waarschuwt voor aanvallen via Remote Desktop Protocol

vrijdag 28 september 2018, 11:11 door Redactie, 12 reacties

De FBI heeft een waarschuwing afgegeven voor aanvallen via het Remote Desktop Protocol (RDP). Volgens de Amerikaanse opsporingsdienst is er sinds eind 2016 een toename van aanvallen via RDP en hebben aanvallers manieren gevonden om kwetsbare RDP-sessies te vinden, om zo inloggegevens te stelen en ransomware te verspreiden.

Via het Remote Desktop Protocl is het mogelijk om op afstand op een systeem in te loggen. De FBI stelt dat aanvallers gebruikmaken van zwakke wachtwoorden en verouderde RDP-versies om toegang tot systemen te krijgen. De aanvallers worden daarbij geholpen doordat beheerders onbeperkte toegang tot de standaard RDP-poort (tcp-poort 3389) mogelijk maken en het aantal inlogpogingen per gebruiker niet beperken.

Zodra de aanvallers op een systeem weten in te loggen proberen ze het achterliggende netwerk aan te vallen. Een bekend voorbeeld is de SamSam-ransomware. Deze ransomware wordt bij gerichte aanvallen ingezet en kan grote gevolgen voor getroffen organisaties hebben. De FBI meldt dat de aanvallers achter SamSam in juli via een bruteforce-aanval de RDP-inloggegevens van een gezondheidsbedrijf wisten te achterhalen en zo toegang tot het bedrijfsnetwerk kregen en duizenden machines versleutelden.

Om dergelijke aanvallen te voorkomen krijgen zowel bedrijven als eindgebruikers het advies om te controleren of ze RDP hebben ingeschakeld. Indien niet nodig moet de dienst worden uitgeschakeld. Verder moeten beheerders sterke wachtwoorden en een lockout policy instellen om bruteforce-aanvallen tegen te gaan. Ook wordt het gebruik van tweefactorauthenticatie en RDP-logging aangeraden en het beperken van toegang tot RDP-verbindingen.

Reacties (12)
28-09-2018, 11:29 door Anoniem
Ook als je RDP beschikbaar maakt vanaf een niet standaard poort (33389 zie je veel) ben je niet veilig. RDP voor de hele wereld open kan tegenwoordig gewoon echt niet meer. Dat is gewoon vragen om problemen!
28-09-2018, 11:48 door Tha Cleaner
RDP direct aan het Internet is gewoon vragen om problemen. Hiervoor zijn juist hele mooie oplossingen mogelijk. Al dan niet icm 2FA authentictie methodes. En zeker met account lockout policies actief. maar ja... Vaak moet het goedkoop en kom je later pas achter de problemen.
28-09-2018, 13:08 door Anoniem
RDP op een andere poort kan in de praktijk goed gaan, het voorkomt in ieder geval de massa van de geautomatiseerde aanvallen. Alleen bij een gerichte aanval helpt het misschien niet tegen bijvoorbeeld een gedistribueerde portscan. Tegen een niet gedistribueerde portscan kun je theoretisch maatregelen treffen. Daarnaast kun je alleen bepaalde IP adressen toestaan te verbinden, dat is erg effectief.

Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.

SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.

Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
29-09-2018, 10:51 door karma4
Door Anoniem: ….
Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.

SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.

Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
SSH pytty TTY https://en.wikipedia.org/wiki/Tty_(unix) tty stands for TeleTYpewriter
De terminal is de moeder voor desktops, beetje thuis in de CLI (command.line interface), vroeger deed je niets anders.
Geef je een SSh verbinding open en bloot op internet dan geef je remote desktop open en bloot op internet weg. Geef dat root rechten etc en je hebt een feestje voor de black hacker als je er waardevolle gegevens op hebt.
29-09-2018, 11:17 door Anoniem
Is het niet eerder Microsoft die moet zorgen dat je niet onbeperkt aantal inlogpogingen kunt doen op het RDP protocol. Een gebruikersaccount in windows heeft normaal beperkingen en een lockout periode. Wel vreemd dat die voor RDP sessies ineens niet gelden dan.

Verder ben ik eens dat je RDP beter niet zomaar aan het internet kan hangen ook omdat er kwetsbaarheden kunnen zijn of komen en zoiets niet altijd direct gepatched kan worden.
29-09-2018, 14:06 door Tha Cleaner
Door karma4:
Door Anoniem: ….
Je kunt RDP over SSH laten verlopen, met een certificaat als authenticatiemiddel. SSH kan poorten redirecten, zodat je vanaf 127.0.0.1 op de doelcomputer naar een op Internet openstaande RDP poort kunt verbinden. Op de lokale computer verbind je dan met een poort op de lokale computer die door OpenSSH wordt opengezet.

SSH server is gratis beschikbaar voor Windows via Cygwin, Microsoft's OpenSSH port en CopSSH (betaalde OpenSSH port). Command line SSH clients worden daarin meegeleverd, en Putty is de bekendste GUI SSH client.

Dus je kunt zonder geld uit te geven aan software de zaak beveiligen.
SSH pytty TTY https://en.wikipedia.org/wiki/Tty_(unix) tty stands for TeleTYpewriter
De terminal is de moeder voor desktops, beetje thuis in de CLI (command.line interface), vroeger deed je niets anders.
Geef je een SSh verbinding open en bloot op internet dan geef je remote desktop open en bloot op internet weg. Geef dat root rechten etc en je hebt een feestje voor de black hacker als je er waardevolle gegevens op hebt.
Daarom werkt SSH met een UserID wachtwoord of nog beter een SSH key. Dan gaat je hele feestje helemaal niet op. Daarnaast staat root toegang vanuit SSH standaard overal uit en heb je hier dus ook geen last van.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.

RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
29-09-2018, 15:00 door karma4 - Bijgewerkt: 29-09-2018, 15:02
Door Tha Cleaner:
Daarom werkt SSH met een UserID wachtwoord of nog beter een SSH key. Dan gaat je hele feestje helemaal niet op. Daarnaast staat root toegang vanuit SSH standaard overal uit en heb je hier dus ook geen last van.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.

RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
Een shh key die ongemerkt gekaapt kan worden (passwordless automaticj login), …. niet best.
De eerste voorwaarde zal moeten zijn een afgeschermde VPN... SSH nog steeds een CLI mogelijkheid.
Shell met root access lijkt met ideaal (het IOT dilemma).


Probeer maar eens een login policy met ssh af te dwingen (bron en tijden en login pogingen) je zult verrast worden door de inconsequenties.
29-09-2018, 15:44 door Tha Cleaner
Door karma4:
Door Tha Cleaner:
Daarom werkt SSH met een UserID wachtwoord of nog beter een SSH key. Dan gaat je hele feestje helemaal niet op. Daarnaast staat root toegang vanuit SSH standaard overal uit en heb je hier dus ook geen last van.
Eventueel met fail2ban kan je SSH ook veel gemakkelijker blockeren dan dat je met RDP kan.

RDP via SSH tunnel is nog altijd beter dan RDP direct aan het Internet hangen.
Een shh key die ongemerkt gekaapt kan worden (passwordless automaticj login), …. niet best.
SSH Key kan je beveiligen met een passphrase, en geen shell mogelijkheden. Daarnaast al heb je de SSH key... Dan heb je nog steeds het RDP Userid/wachtwoord nodig.
Je hebt dus iets nodig (key) en je moet iets weten (userid/password).

De eerste voorwaarde zal moeten zijn een afgeschermde VPN...
Je bedoelt het zelfde userid / wachtwoord als de RDP verbinding? Of je moet met certificaten gaan werken. Ohh wacht even.... die kunnen ook gestolen worden.

SSH nog steeds een CLI mogelijkheid.
Wat uit te zetten is, of gewoon een goed dicht getimmerd systeem neer zetten. OpenBSD or gewoon een rooted shell.

Shell met root access lijkt met ideaal (het IOT dilemma).
Eigenlijk net zo iets als RDP direct aan het Internet hangen? Je ben weer dingen aan elkaar aan het koppelen zonder logica.
We hebben het hier helemaal niet over IOT. Of waar komt in eens root vandaan?

Probeer maar eens een login policy met ssh af te dwingen (bron en tijden en login pogingen) je zult verrast worden door de inconsequenties.
Probeer dat maar eens met een standaard VPN oplossing...... Of nog beter... Met een standaard RDP oplossing. Daar kan je helemaal niets blockeren. Afgezien het account, maar niets op basis van source ip.....
En SSH kan je zelf eventueel scripten bij foutieve authenticaties icm IP en een geolocatie database.

SSH tunnel icm met RDP tunnel is altijd nog beter dan direct RDP aan het Internet gangen. Dat is gewoon een feit.
Maar het kan nog een stuk beter, VPN icm 2AF. Maar dat is ook weer een stuk lastiger te implementeren. SSH Tunnel is erg gebruikers onvriendelijk, maar werkt wel stukken beter en veiliger.
01-10-2018, 10:58 door Anoniem
Door Anoniem: Ook als je RDP beschikbaar maakt vanaf een niet standaard poort (33389 zie je veel) ben je niet veilig. RDP voor de hele wereld open kan tegenwoordig gewoon echt niet meer. Dat is gewoon vragen om problemen!

Security through obscurity werkt nergens voor en in sommige gevallen zelfs averechts.
01-10-2018, 13:21 door Tha Cleaner
Door Anoniem:
Door Anoniem: Ook als je RDP beschikbaar maakt vanaf een niet standaard poort (33389 zie je veel) ben je niet veilig. RDP voor de hele wereld open kan tegenwoordig gewoon echt niet meer. Dat is gewoon vragen om problemen!

Security through obscurity werkt nergens voor en in sommige gevallen zelfs averechts.
Maar lost wel 90% van de bagger en ruis van het internet op. Is het goede methode, dat niet. Maar tegen ruis en standaard scans is het uitermate efficiënt.
02-10-2018, 14:05 door Anoniem
RD Gateway is ook een oplossing!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.