image

CISA: blokkeer uitgaande RDP-verbindingen naar externe netwerken

vrijdag 1 november 2024, 10:01 door Redactie, 4 reacties

De Amerikaanse overheid adviseert organisaties om uitgaande RDP-verbindingen naar externe of publieke netwerken te verbieden of drastisch te beperken. "Deze maatregel is cruciaal om blootstelling aan mogelijke cyberdreigingen te beperken", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Aanleiding voor het advies van de overheidsinstantie is een grootschalige phishingaanval waarbij gebruik wordt gemaakt van RDP-configuratiebestanden. Doelwitten ontvangen een e-mail met een .rdp-bestand. Wanneer de ontvanger het bestand opent maakt zijn computer verbinding met de RDP-server van de aanvaller. Via het Remote Desktop Protocol (RDP) is het mogelijk om op afstand toegang tot computers te krijgen.

Zodra de computer van het doelwit verbinding met de RDP-server van de aanvallers maakt, kunnen die allerlei vertrouwelijke gegevens en bestanden stelen en proberen verdere aanvallen uit te voeren. Volgens het CISA is het dan ook belangrijk dat organisaties RDP-bestanden in e-mailclients en webmaildiensten blokkeren. Daarnaast moeten organisaties maatregelen nemen om te voorkomen dat gebruikers RDP-bestanden kunnen openen, wat het CISA een zeer belangrijke voorzorgsmaatregel noemt om de kans op misbruik tegen te gaan.

Organisaties worden ook aangeraden om naar ongeautoriseerde uitgaande RDP-verbindingen te zoeken die het laatste jaar zijn opgezet. Tevens krijgen organisaties het advies om gebruikers te onderwijzen. "Robuuste gebruikerseducatie kan helpen om de dreiging van social engineering en phishingmails tegen te gaan. Bedrijven zouden een educatieprogramma moeten hebben dat duidelijk maakt hoe verdachte e-mails zijn te herkennen en rapporteren."

Reacties (4)
Vandaag, 11:16 door Anoniem
Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Vandaag, 11:27 door wim-bart
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *

Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.
Vandaag, 11:55 door Anoniem
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Dan blokkeer je toch ms-rdp als toegestane applicatie in je firewall? Kom op zeg, een beetje zelf nadenken mag ook wel?
Vandaag, 11:56 door Anoniem
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Beheerder: blokkeer xx.rdp files.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.