您所在的位置: 首頁 >
安全研究 >
安全通告 >
2020遠程辦公的頭號漏洞:遠程桌面協(xié)議
隨著冬季的到來,新冠疫情在全球的大流行呈現(xiàn)上升趨勢,任何企業(yè)和機構(gòu)的信息技術(shù)和網(wǎng)絡(luò)安全主管,都應(yīng)當為隨時可能到來或升級的遠程辦公做好安全防護預(yù)案和準備工作。
即將過去的2020年,除了一線醫(yī)護人員外,網(wǎng)絡(luò)安全專業(yè)人士也是工作壓力陡增的職業(yè)人群之一。這主要是因為網(wǎng)絡(luò)犯罪活動的飆升,網(wǎng)絡(luò)安全漏洞(及相關(guān)工作量)的快速增長,以及突如其來的遠程辦公IT環(huán)境遷移。例如,微軟在2020年修補了創(chuàng)紀錄數(shù)量的常見漏洞和披露(CVE),給不堪重負的安全團隊施加了壓力。這些漏洞中有許多都影響了遠程桌面,而遠程桌面對遠程辦公人員而言至關(guān)重要。
根據(jù)enable的數(shù)據(jù),今年微軟通過每月的補丁日累計修復了1,245個漏洞,遠遠超過2019年的840個漏洞,同時也超過2017年和2018年的總數(shù)。2020年大多數(shù)月份,至少發(fā)布了110個補丁,其中6月和9月最多,達到129個補丁。在這眾多漏洞中,與Windows遠程桌面協(xié)議(RDP)相關(guān)的漏洞是與遠程辦公密切相關(guān)且對犯罪分子頗具吸引力的漏洞。
趨勢科技“零日活動”的達斯汀·Childs說:“對于遠程辦公團隊來說,最熱門的兩大攻擊領(lǐng)域無疑是遠程工作者使用的工具和支持它的基礎(chǔ)結(jié)構(gòu)?!?/p>
Childs解釋說:“今年,攻擊者將其策略從過去的針對應(yīng)用程序轉(zhuǎn)移到了針對協(xié)議。除了DNS之外,RDP是另一個熱門目標。”
協(xié)議是一個廣泛的目標,隨著企業(yè)IT系統(tǒng)變得越來越復雜,攻擊者逐漸意識到,如果從低層協(xié)議入手,他們可以達成更多目標。業(yè)界對應(yīng)用程序安全性的更加關(guān)注也促使攻擊者另辟蹊徑,繞過軟件防御的重點防區(qū)。
RDP漏洞的嚴重性通常取決于漏洞的位置:例如,遠程桌面服務(wù)器中的漏洞比遠程桌面客戶端中的漏洞更嚴重。如果攻擊者接管遠程桌面服務(wù)器,通??梢晕唇?jīng)身份驗證就執(zhí)行遠程代碼。
針對RDP的最常見攻擊類型是暴力攻擊,犯罪分子通過嘗試不同的組合直到找到一個有效的RDP連接,來查找用戶名和密碼??ò退够难芯匡@示,此類攻擊在3月初激增,到2020年的前11個月總計達到33億次,是2019年同期數(shù)量(9.69億次)的三倍多。
Sophos首席研究員安德魯·布蘭特(Andrew Brandt)表示,今年遠程桌面成為主要攻擊目標并不奇怪。過去員工規(guī)模數(shù)千人的企業(yè)和組織會把敏感數(shù)據(jù)放在企業(yè)內(nèi)網(wǎng),并僅限內(nèi)部訪問。而疫情遠程辦公期間,員工需要從家中訪問這些敏感數(shù)據(jù)和資產(chǎn)。
RDP漏洞在2019年因為BlueKeep和DejaBlue漏洞而受到廣泛關(guān)注。雖然2020沒有特別知名的RDP漏洞,但Narang指出RDP漏洞應(yīng)始終引起安全團隊的注意。它們不僅對于竊取數(shù)據(jù)和資金的犯罪分子來說是無價之寶,也是勒索軟件犯罪團伙的“頭等大事” 。
RDP漏洞的一個危險特征是它們通常對員工不可見。安全團隊是否看到危險信號取決于他們擁有的日志類型以及對這些日志的監(jiān)視程度。RDP的安全性還取決于企業(yè)的網(wǎng)絡(luò)入侵檢測/預(yù)防系統(tǒng)的設(shè)置。
當安全分析師被安全警報淹沒的時候,很可能會漏掉漏洞。
來源:安全牛 原文標題:2020遠程辦公的頭號漏洞:遠程桌面協(xié)議(RDP)