image

CISA: blokkeer uitgaande RDP-verbindingen naar externe netwerken

vrijdag 1 november 2024, 10:01 door Redactie, 10 reacties

De Amerikaanse overheid adviseert organisaties om uitgaande RDP-verbindingen naar externe of publieke netwerken te verbieden of drastisch te beperken. "Deze maatregel is cruciaal om blootstelling aan mogelijke cyberdreigingen te beperken", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Aanleiding voor het advies van de overheidsinstantie is een grootschalige phishingaanval waarbij gebruik wordt gemaakt van RDP-configuratiebestanden. Doelwitten ontvangen een e-mail met een .rdp-bestand. Wanneer de ontvanger het bestand opent maakt zijn computer verbinding met de RDP-server van de aanvaller. Via het Remote Desktop Protocol (RDP) is het mogelijk om op afstand toegang tot computers te krijgen.

Zodra de computer van het doelwit verbinding met de RDP-server van de aanvallers maakt, kunnen die allerlei vertrouwelijke gegevens en bestanden stelen en proberen verdere aanvallen uit te voeren. Volgens het CISA is het dan ook belangrijk dat organisaties RDP-bestanden in e-mailclients en webmaildiensten blokkeren. Daarnaast moeten organisaties maatregelen nemen om te voorkomen dat gebruikers RDP-bestanden kunnen openen, wat het CISA een zeer belangrijke voorzorgsmaatregel noemt om de kans op misbruik tegen te gaan.

Organisaties worden ook aangeraden om naar ongeautoriseerde uitgaande RDP-verbindingen te zoeken die het laatste jaar zijn opgezet. Tevens krijgen organisaties het advies om gebruikers te onderwijzen. "Robuuste gebruikerseducatie kan helpen om de dreiging van social engineering en phishingmails tegen te gaan. Bedrijven zouden een educatieprogramma moeten hebben dat duidelijk maakt hoe verdachte e-mails zijn te herkennen en rapporteren."

Reacties (10)
01-11-2024, 11:16 door Anoniem
Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
01-11-2024, 11:27 door wim-bart
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *

Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.
01-11-2024, 11:55 door Anoniem
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Dan blokkeer je toch ms-rdp als toegestane applicatie in je firewall? Kom op zeg, een beetje zelf nadenken mag ook wel?
01-11-2024, 11:56 door Anoniem
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Beheerder: blokkeer xx.rdp files.
01-11-2024, 14:41 door Anoniem
Door wim-bart:
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *

Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.

De default poort voor RDP is NIET 443 dat is voor de mail maar 3389 is voor Remote Desktop Protocol (RDP)!
01-11-2024, 15:07 door Anoniem
Door Anoniem:
Door wim-bart:
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *

Daarom afdwingen dat RDP altijd via een RDP gateway gaat. Dit kan met GPO’s. Vervolgens alleen de gateway toestaan via authenticatie toestaan en de firewall van de gateway beperkten tot toegestane adressen. Je kan ook nog gateway profielen maken om dit te regelen op basis van groep lidmaatschap bijvoorbeeld naar welke RDP end hosts je kan verbinden.

De default poort voor RDP is NIET 443 dat is voor de mail maar 3389 is voor Remote Desktop Protocol (RDP)!

Ja dat begrijpt de persoon hierboven heel goed. Jij lijkt niet te begrijpen dat je een service zonder problemen op een andere poort kunt draaien en dat iets primitiefs als egress 3389 blokkeren dan totaal geen nu heeft.
01-11-2024, 15:37 door Anoniem
Door Anoniem:Ja dat begrijpt de persoon hierboven heel goed. Jij lijkt niet te begrijpen dat je een service zonder problemen op een andere poort kunt draaien en dat iets primitiefs als egress 3389 blokkeren dan totaal geen nu heeft.
Precies maar het kan nog erger bv. multi service na een tls handshake (sslh) met varianten, succes met blokkeren. Het is beter om het 'gat' aan de client zijde te fixen.
01-11-2024, 22:50 door Anoniem
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *

Precies, ooit eens laten zien dat alles blokkeren met een firewall of external proxy geen nut had, omdat SSH open stond naar buiten. Gewoon alles tunnelen over putty en voila, kon gewoon geblokkeerde pagina's bekijken.
Toen deden ze SSH dicht, en ging ik over DNS... toen gooide ze DNS dicht en kon niemand meer internetten, behalve ik, want ik had externe DNS over TLS...
03-11-2024, 09:28 door Anoniem
weel geneuzel hierboven, maar de bron van de ellende is dus dat het te eenvoudig is een persoon zonder besef een rdp sessie op te laten zetten dmv een klein klikje op een attachment. ik durf bijna te verwedden dat in bepaalde mail clients die klik ook niet eens nodig is, gezien de ervaringen en track records.
04-11-2024, 19:42 door Anoniem
Door Anoniem:
Door Anoniem: Beheerder: mooi, poort 3389 uitgaand geblokkeerd
We zijn veilig.

Aanvaller: *stuurt rdp file met :443 in het adres *
Beheerder: blokkeer xx.rdp files.

Blokkeer mensen die op rdp files klikken
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.