CISA: blokkeer uitgaande RDP-verbindingen naar externe netwerken
De Amerikaanse overheid adviseert organisaties om uitgaande RDP-verbindingen naar externe of publieke netwerken te verbieden of drastisch te beperken. "Deze maatregel is cruciaal om blootstelling aan mogelijke cyberdreigingen te beperken", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.
Aanleiding voor het advies van de overheidsinstantie is een grootschalige phishingaanval waarbij gebruik wordt gemaakt van RDP-configuratiebestanden. Doelwitten ontvangen een e-mail met een .rdp-bestand. Wanneer de ontvanger het bestand opent maakt zijn computer verbinding met de RDP-server van de aanvaller. Via het Remote Desktop Protocol (RDP) is het mogelijk om op afstand toegang tot computers te krijgen.
Zodra de computer van het doelwit verbinding met de RDP-server van de aanvallers maakt, kunnen die allerlei vertrouwelijke gegevens en bestanden stelen en proberen verdere aanvallen uit te voeren. Volgens het CISA is het dan ook belangrijk dat organisaties RDP-bestanden in e-mailclients en webmaildiensten blokkeren. Daarnaast moeten organisaties maatregelen nemen om te voorkomen dat gebruikers RDP-bestanden kunnen openen, wat het CISA een zeer belangrijke voorzorgsmaatregel noemt om de kans op misbruik tegen te gaan.
Organisaties worden ook aangeraden om naar ongeautoriseerde uitgaande RDP-verbindingen te zoeken die het laatste jaar zijn opgezet. Tevens krijgen organisaties het advies om gebruikers te onderwijzen. "Robuuste gebruikerseducatie kan helpen om de dreiging van social engineering en phishingmails tegen te gaan. Bedrijven zouden een educatieprogramma moeten hebben dat duidelijk maakt hoe verdachte e-mails zijn te herkennen en rapporteren."
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.
De default poort voor RDP is NIET 443 dat is voor de mail maar 3389 is voor Remote Desktop Protocol (RDP)!
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.
De default poort voor RDP is NIET 443 dat is voor de mail maar 3389 is voor Remote Desktop Protocol (RDP)!
Ja dat begrijpt de persoon hierboven heel goed. Jij lijkt niet te begrijpen dat je een service zonder problemen op een andere poort kunt draaien en dat iets primitiefs als egress 3389 blokkeren dan totaal geen nu heeft.
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
Precies, ooit eens laten zien dat alles blokkeren met een firewall of external proxy geen nut had, omdat SSH open stond naar buiten. Gewoon alles tunnelen over putty en voila, kon gewoon geblokkeerde pagina's bekijken.
Toen deden ze SSH dicht, en ging ik over DNS... toen gooide ze DNS dicht en kon niemand meer internetten, behalve ik, want ik had externe DNS over TLS...
We zijn veilig.
Aanvaller: *stuurt rdp file met :443 in het adres *
Blokkeer mensen die op rdp files klikken
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
