Het aantal aanvallen op Remote Desktop Protocol-servers lag in maart van dit jaar dertig procent hoger dan in februari. Deze stijging valt samen met een aanzienlijke toename van het aantal blootgestelde RDP-servers, zo rapporteert het Sans Institute.
De bevindingen zijn zorgwekkend omdat ze samenvallen met de enorme golf van bedrijven die werknemers vanuit huis laten werken. Om werknemers in staat te stellen te telewerken, hebben veel organisaties RDP geïmplementeerd en dat kan vertrouwelijke systemen aan het publieke internet blootstellen. Zwakke RDP-servers kunnen opgespoord worden door de zoekmachine Shodan waarmee gebruikers op het internet naar verbonden apparaten kunnen zoeken
Remote Desktop Protocol is een door Microsoft ontwikkeld protocol dat een grafische interface biedt om via een netwerkverbinding met andere computers een verbinding te leggen. Het is voor bedrijven een goedkope en relatief eenvoudige manier om telewerken mogelijk te maken. Een gebruiker dient hiervoor RDP-clientsoftware te gebruiken, terwijl de andere computer RDP-serversoftware moet toepassen.
‘Het aantal bron-IP-adressen dat aanvallers hebben gebruikt om internet op RDP te scannen, nam in maart met ongeveer 30 procent toe.’, zegt dr. Johannes Ullrich van het SANS Technology Institute. ‘Per maand ligt het gemiddelde aantal aangevallen IP-adressen op zowat 2.600, maar in maart waren dit er plots zo’n 3.540 per dag. RDP is geen protocol dat krachtig genoeg is om aan het internet te worden blootgesteld. We zien nu dat aanvallers zwakke inloggegevens verhandelen die ze voor deze RDP-servers hebben gevonden. Een beschadigde RDP-server kan leiden tot een complete beschadiging van het blootgestelde systeem en zal waarschijnlijk worden gebruikt om andere systemen binnen het netwerk aan te vallen en te exploiteren.’
Ullricht raadt aan om lange en unieke wachtwoorden te gebruiken om RDP-servers te beveiligen en, indien mogelijk, alleen toegang te verlenen via een VPN. ‘Microsoft biedt ook de RDP Gateway aan die kan worden gebruikt om een sterk authenticatiebeleid op te zetten. Bedrijven kunnen proberen de toegang tot RDP vanaf specifieke IP-adressen te beperken wanneer er geen VPN kan worden geïmplementeerd. Dit kan wel moeilijk zijn wanneer it-beheerders vanuit thuis met dynamische IP-adressen werken.’
Een andere optie is om een cloudserver als startpunt te gebruiken, zegt de beveiligingsexpert. ‘Zet de cloudserver op de whitelist en gebruik veilige protocollen zoals SSH om verbinding met de cloudserver te maken. Deze techniek kan als snelle oplossing werken wanneer bedrijven geen uitvaltijd willen riskeren en iedereen op afstand werkt. Veel organisaties willen en kunnen het verlies van toegang tot bedrijfskritische systemen niet riskeren. Het wijzigen van externe toegang en firewallregels kan leiden tot verlies van toegang die in sommige gevallen alleen kan worden hersteld door iemand op locatie.’
