2020遠程辦公的頭號漏洞:遠程桌面協議(RDP)
隨著冬季的到來,新冠疫情在全球的大流行呈現上升趨勢,任何企業和機構的信息技術和網絡安全主管,都應當為隨時可能到來或升級的遠程辦公做好安全防護預案和準備工作。
即將過去的2020年,除了一線醫護人員外,網絡安全專業人士也是工作壓力陡增的職業人群之一。這主要是因為網絡犯罪活動的飆升,網絡安全漏洞(及相關工作量)的快速增長,以及突如其來的遠程辦公IT環境遷移。例如,微軟在2020年修補了創紀錄數量的常見漏洞和披露(CVE),給不堪重負的安全團隊施加了壓力。這些漏洞中有許多都影響了遠程桌面,而遠程桌面對遠程辦公人員而言至關重要。
根據enable的數據,今年微軟通過每月的補丁日累計修復了1,245個漏洞,遠遠超過2019年的840個漏洞,同時也超過2017年和2018年的總數。2020年大多數月份,至少發布了110個補丁,其中6月和9月最多,達到129個補丁。在這眾多漏洞中,與Windows遠程桌面協議(RDP)相關的漏洞是與遠程辦公密切相關且對犯罪分子頗具吸引力的漏洞。
趨勢科技“零日活動”的達斯汀·Childs說:“對于遠程辦公團隊來說,最熱門的兩大攻擊領域無疑是遠程工作者使用的工具和支持它的基礎結構。”
Childs解釋說:“今年,攻擊者將其策略從過去的針對應用程序轉移到了針對協議。除了DNS之外,RDP是另一個熱門目標。”
協議是一個廣泛的目標,隨著企業IT系統變得越來越復雜,攻擊者逐漸意識到,如果從低層協議入手,他們可以達成更多目標。業界對應用程序安全性的更加關注也促使攻擊者另辟蹊徑,繞過軟件防御的重點防區。
RDP漏洞的嚴重性通常取決于漏洞的位置:例如,遠程桌面服務器中的漏洞比遠程桌面客戶端中的漏洞更嚴重。如果攻擊者接管遠程桌面服務器,通常可以未經身份驗證就執行遠程代碼。
針對RDP的最常見攻擊類型是暴力攻擊,犯罪分子通過嘗試不同的組合直到找到一個有效的RDP連接,來查找用戶名和密碼。卡巴斯基的研究顯示,此類攻擊在3月初激增,到2020年的前11個月總計達到33億次,是2019年同期數量(9.69億次)的三倍多。
Sophos首席研究員安德魯·布蘭特(Andrew Brandt)表示,今年遠程桌面成為主要攻擊目標并不奇怪。過去員工規模數千人的企業和組織會把敏感數據放在企業內網,并僅限內部訪問。而疫情遠程辦公期間,員工需要從家中訪問這些敏感數據和資產。
RDP漏洞在2019年因為BlueKeep和DejaBlue漏洞而受到廣泛關注。雖然2020沒有特別知名的RDP漏洞,但Narang指出RDP漏洞應始終引起安全團隊的注意。它們不僅對于竊取數據和資金的犯罪分子來說是無價之寶,也是勒索軟件犯罪團伙的“頭等大事” 。
RDP漏洞的一個危險特征是它們通常對員工不可見。安全團隊是否看到危險信號取決于他們擁有的日志類型以及對這些日志的監視程度。RDP的安全性還取決于企業的網絡入侵檢測/預防系統的設置。
當安全分析師被安全警報淹沒的時候,很可能會漏掉漏洞。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
