您所在的位置: 首頁 >
安全研究 >
安全通告 >
2020遠(yuǎn)程辦公的頭號漏洞:遠(yuǎn)程桌面協(xié)議
隨著冬季的到來,新冠疫情在全球的大流行呈現(xiàn)上升趨勢,任何企業(yè)和機(jī)構(gòu)的信息技術(shù)和網(wǎng)絡(luò)安全主管,都應(yīng)當(dāng)為隨時(shí)可能到來或升級的遠(yuǎn)程辦公做好安全防護(hù)預(yù)案和準(zhǔn)備工作。
即將過去的2020年,除了一線醫(yī)護(hù)人員外,網(wǎng)絡(luò)安全專業(yè)人士也是工作壓力陡增的職業(yè)人群之一。這主要是因?yàn)榫W(wǎng)絡(luò)犯罪活動的飆升,網(wǎng)絡(luò)安全漏洞(及相關(guān)工作量)的快速增長,以及突如其來的遠(yuǎn)程辦公I(xiàn)T環(huán)境遷移。例如,微軟在2020年修補(bǔ)了創(chuàng)紀(jì)錄數(shù)量的常見漏洞和披露(CVE),給不堪重負(fù)的安全團(tuán)隊(duì)施加了壓力。這些漏洞中有許多都影響了遠(yuǎn)程桌面,而遠(yuǎn)程桌面對遠(yuǎn)程辦公人員而言至關(guān)重要。
根據(jù)enable的數(shù)據(jù),今年微軟通過每月的補(bǔ)丁日累計(jì)修復(fù)了1,245個(gè)漏洞,遠(yuǎn)遠(yuǎn)超過2019年的840個(gè)漏洞,同時(shí)也超過2017年和2018年的總數(shù)。2020年大多數(shù)月份,至少發(fā)布了110個(gè)補(bǔ)丁,其中6月和9月最多,達(dá)到129個(gè)補(bǔ)丁。在這眾多漏洞中,與Windows遠(yuǎn)程桌面協(xié)議(RDP)相關(guān)的漏洞是與遠(yuǎn)程辦公密切相關(guān)且對犯罪分子頗具吸引力的漏洞。
趨勢科技“零日活動”的達(dá)斯汀·Childs說:“對于遠(yuǎn)程辦公團(tuán)隊(duì)來說,最熱門的兩大攻擊領(lǐng)域無疑是遠(yuǎn)程工作者使用的工具和支持它的基礎(chǔ)結(jié)構(gòu)?!?/p>
Childs解釋說:“今年,攻擊者將其策略從過去的針對應(yīng)用程序轉(zhuǎn)移到了針對協(xié)議。除了DNS之外,RDP是另一個(gè)熱門目標(biāo)?!?/p>
協(xié)議是一個(gè)廣泛的目標(biāo),隨著企業(yè)IT系統(tǒng)變得越來越復(fù)雜,攻擊者逐漸意識到,如果從低層協(xié)議入手,他們可以達(dá)成更多目標(biāo)。業(yè)界對應(yīng)用程序安全性的更加關(guān)注也促使攻擊者另辟蹊徑,繞過軟件防御的重點(diǎn)防區(qū)。
RDP漏洞的嚴(yán)重性通常取決于漏洞的位置:例如,遠(yuǎn)程桌面服務(wù)器中的漏洞比遠(yuǎn)程桌面客戶端中的漏洞更嚴(yán)重。如果攻擊者接管遠(yuǎn)程桌面服務(wù)器,通??梢晕唇?jīng)身份驗(yàn)證就執(zhí)行遠(yuǎn)程代碼。
針對RDP的最常見攻擊類型是暴力攻擊,犯罪分子通過嘗試不同的組合直到找到一個(gè)有效的RDP連接,來查找用戶名和密碼??ò退够难芯匡@示,此類攻擊在3月初激增,到2020年的前11個(gè)月總計(jì)達(dá)到33億次,是2019年同期數(shù)量(9.69億次)的三倍多。
Sophos首席研究員安德魯·布蘭特(Andrew Brandt)表示,今年遠(yuǎn)程桌面成為主要攻擊目標(biāo)并不奇怪。過去員工規(guī)模數(shù)千人的企業(yè)和組織會把敏感數(shù)據(jù)放在企業(yè)內(nèi)網(wǎng),并僅限內(nèi)部訪問。而疫情遠(yuǎn)程辦公期間,員工需要從家中訪問這些敏感數(shù)據(jù)和資產(chǎn)。
RDP漏洞在2019年因?yàn)锽lueKeep和DejaBlue漏洞而受到廣泛關(guān)注。雖然2020沒有特別知名的RDP漏洞,但Narang指出RDP漏洞應(yīng)始終引起安全團(tuán)隊(duì)的注意。它們不僅對于竊取數(shù)據(jù)和資金的犯罪分子來說是無價(jià)之寶,也是勒索軟件犯罪團(tuán)伙的“頭等大事” 。
RDP漏洞的一個(gè)危險(xiǎn)特征是它們通常對員工不可見。安全團(tuán)隊(duì)是否看到危險(xiǎn)信號取決于他們擁有的日志類型以及對這些日志的監(jiān)視程度。RDP的安全性還取決于企業(yè)的網(wǎng)絡(luò)入侵檢測/預(yù)防系統(tǒng)的設(shè)置。
當(dāng)安全分析師被安全警報(bào)淹沒的時(shí)候,很可能會漏掉漏洞。
來源:安全牛 原文標(biāo)題:2020遠(yuǎn)程辦公的頭號漏洞:遠(yuǎn)程桌面協(xié)議(RDP)