Met de kerstvakantie voor de deur dienen zich ook beveiligingsproblemen met remote desktop protocol (rdp) aan, want een van de meest misbruikte applicaties en protocollen. ‘Je zet gewoon de deur open.’
Die laatste uitspraak is van Geert Baudewijns, ceo van Secutec, die ook een tendens ziet tijdens het jaar. ‘Rdp-poorten worden voornamelijk gebruikt wanneer een it-verantwoordelijke op vakantie wil. Die vraagt dan doorgaans aan een it-partner om een backup te zijn, zodat eventuele problemen bij het bedrijf snel opgelost zijn’, weet hij. ‘Daardoor verzwakken ze de beveiliging van het netwerk. Op het moment dat een hacker zo’n poort ziet openstaan, is via een brute force-aanval binnen te geraken op het netwerk.’
Daarom kondigt zich met zowel de zomer- als de eindejaarvakantie een periode aan met veel security-perikelen naar aanleiding van rdp-poorten die openstaan. ‘Het is ongeveer hetzelfde als de deur openzetten voor iedereen met slechte bedoelingen’, vindt Baudewijns. ‘En bij terugkeer na hun vakantie vergeten veel it-verantwoordelijken die poorten weer te sluiten.’
Living off the land
Security-problemen met rdp kun je plaatsen onder de noemer ‘living off the land’-trend. Hardnekkig zijn ze in elk geval. Onderzoekers van Sophos onderzochten recent bijna tweehonderd incident response-gevallen. Uit de analyse blijkt dat aanvallers steeds vaker gebruikmaken van vertrouwde applicaties en tools in Windows-systemen. Dit wordt dus living off the land binaries genoemd, om systemen te verkennen.
Van de 187 unieke Microsoft living off the land binaries, die in de eerste helft van het jaar werden gedetecteerd, was rdp dan ook de meest misbruikte applicatie. In 89 procent van de bijna tweehonderd onderzochte incident response-gevallen maakten aanvallers misbruik van rdp. Een aandeel dat in dezelfde lijn ligt als dat van vorig jaar. Of hoe beterschap niet in zicht is.
