Comment fonctionne une attaque RDP?

Protocole de bureau à distance Les attaques (RDP) deviennent un cauchemar pour les RSSI, les DSI, les CTO et les administrateurs réseau. Ils sont un vecteur d’attaque pour les réseaux d’entreprise. L’année 2020 a vu la plus forte augmentation Attaques RDP, ciblant les entreprises américaines. Selon Cyware, Attaque par force brute RDP Les tentatives sont passées de 200 000 par jour en janvier 2020 à 1,4 million par jour en avril 2020. Kaspersky Labs a révélé que les attaques RDP avaient augmenté de 242% pour atteindre 3,3 milliards en 2020 par rapport à 2019. Blâmez l’augmentation des attaques RDP contre le coronavirus et l’escalade de la cybercriminalité . Alors que les employés déplaçaient les postes de travail de leurs bureaux à leurs maisons en peu de temps, il n’y avait pas beaucoup de temps pour reconfigurer les réseaux domestiques et les points de terminaison afin d’établir une sécurité à plusieurs niveaux inhérente aux réseaux d’entreprise. Sachant cela, les pirates en ont profité et ont attaqué points de terminaison distants pour entrer dans les réseaux d’entreprise. Selon Avast, ransomware attaques via RDP sont en augmentation et ciblent souvent les petites et moyennes entreprises.

Quelles attaques RDP ont eu lieu dans le passé?

LabCorp (Laboratory Corp. of America) a été touché par un ransomware lors d’une attaque RDP en 2018. Le ransomware a infecté des milliers de PC et près de 2000 serveurs de cette importante installation de tests médicaux. Selon le le journal Wall Street rapport, la société a été touchée par une souche de ransomware connue sous le nom de Sam Sam. Les pirates ont exigé 6000 $ en bitcoins pour chaque machine ou 52500 $ pour déverrouiller tous les appareils cryptés, selon l’alerte du Centre national de partage et d’analyse des informations sur la santé, qui coordonne les réponses du secteur de la santé aux cyberattaques.

Et plus tôt dans l’année, l’aéroport international Hartsfield-Jackson d’Atlanta, considéré comme le plus fréquenté au monde par le trafic passagers, a également été touché par une attaque impliquant SamSam.

En 2018, le Centre de plaintes contre la criminalité sur Internet (IC3) et le département américain de la Sécurité intérieure ont publié une alerte indiquant: «Les outils d’administration à distance, tels que le protocole RDP (Remote Desktop Protocol), en tant que vecteur d’attaque, sont en hausse depuis mi-fin 2016 avec la montée des marchés sombres vendant l’accès RDP. »

Comment se produisent les attaques RDP?

Les logiciels Microsoft sont utilisés dans plus de 90% des ordinateurs du monde et, naturellement, ils ont été largement ciblés par les pirates. Nous l’avons vu avec Internet Explorer, les systèmes d’exploitation Windows sortis au fil des ans, le logiciel Windows Server – et ces jours-ci avec Microsoft 365.

Microsoft a introduit le protocole de bureau à distance en 1996. Chaque système Windows depuis Windows XP utilise RDP pour la connexion à distance. À mesure que les employés sont devenus mobiles et ont travaillé à partir de différents endroits, il était nécessaire d’accéder aux serveurs et aux postes de travail de l’entreprise à partir de sites distants. Deux technologies ont émergé: VPN et RDP. Mais RDP est le choix le plus populaire parmi les utilisateurs car il est intégré à Windows et offre plus de contrôle sur l’hôte. Un client RDP exécuté sur l’ordinateur portable ou le bureau (client) de l’utilisateur communique avec le composant RDP sur le serveur (hôte). Et la communication entre les deux est cryptée (voir illustration).

Depuis l’introduction de RDP, les cybercriminels tentent de pirater des machines via ce protocole, lançant ainsi un Attaque Windows RDP. Les attaques RDP continuent à avoir un impact sur les organisations du monde entier à ce jour. Aujourd’hui, les pirates utilisent des attaques RDP pour déployer ransomware et pour verrouiller les systèmes, paralysant gravement les entreprises – comme dans l’incident LabCorp. Ces types de Attaques RDP deviennent de plus en plus courants car ils sont lucratifs.

Les attaques RDP se produisent via open Ports RDP.

Qu’est-ce qu’un port RDP?

Un ordinateur a du matériel et des logiciels les ports pour communiquer avec d’autres appareils et services. Ports matériels sont plus faciles à comprendre car ils sont physiques. Regardez les côtés de votre ordinateur portable et vous verrez différents ports matériels pour connecter des périphériques – ports USB, ports HDMI, l’ancien VGA et Firewire (Apple); Port Ethernet (réseau), port d’affichage, connecteur Lightning (Apple), Thunderbolt (Apple), port d’alimentation, etc.

Ports logiciels sont des canaux logiques vers les services sur les réseaux. Par exemple, les sites Web sont accessibles via le port 8080 (http), le transfert de fichiers s’effectue sur le port 20 ou 21 et l’envoi de courrier électronique via le port 25 (SMTP). Ceux-ci sont définis par les protocoles de communication suivis par l’industrie – http, FTP, TCP / IP et SMTP sont des protocoles.

Voici une analogie. La télévision par câble offre des centaines de chaînes qui nous parviennent sur un seul fil. Mais tous ces canaux ont des chemins de communication séparés dans ce fil. Ce sont comme des ports. Considérez les ports comme des canaux de communication.

Il existe des milliers de services auxquels accéder sur les réseaux – impression, transfert FTP / fichier, partage de fichiers, accès à distance, etc. Un port (et un numéro de port unique) est désigné pour le service.

Vous avez des ports pour Accès à distance De plus, et souvent, ces ports ne sont pas sécurisés et sont accessibles à tous. Les pirates analysent les périphériques connectés à la recherche de ports ouverts et, une fois qu’ils les trouvent, ils peuvent accéder aux points de terminaison. Les terminaux sont connectés au réseau d’entreprise via TCP / IP et autre protocoles. Ainsi, une fois que le pirate informatique pénètre dans votre point de terminaison connecté (ordinateur portable, tablette, téléphone), il peut facilement accéder au réseau correspondant et déployer des logiciels malveillants tels que des ransomwares.

Pourquoi utiliser l’accès à distance?

L’exemple le plus courant d’accès à distance aujourd’hui est votre ingénieur informatique qui se connecte à votre ordinateur portable depuis un emplacement distant pour résoudre un problème. Ils utiliseraient un logiciel de connectivité à distance comme AnyDesk ou TeamViewer pour ce faire. C’est via RDP.

Un autre exemple est un employé itinérant qui peut vouloir accéder à certains fichiers stockés sur son ordinateur de bureau, qui se trouve à des milliers de kilomètres. L’employé peut utiliser VPN ou RDP pour ce faire.

Comment bloquez-vous une attaque RDP?

Les ports ont des numéros par défaut. Si vous conservez le port RDP sur 3389 (par défaut), alors c’est une menace pour la sécurité, puisque les pirates sont au courant de ce port. Ainsi, si vous prévoyez d’ouvrir les ports RDP pour l’accès Internet, la première chose à faire est de changer le numéro de port par défaut de 3389 à un nombre supérieur à 10000. Ou, si vous souhaitez continuer à utiliser le port 3389, assurez-vous que le port est fermé arrêt après une session d’accès à distance.

Les pirates utilisent un logiciel d’analyse des ports pour déterminer quels ports sont ouverts sur le système ciblé. Vous pouvez utiliser ce logiciel pour voir tous les ports ouverts sur votre système – et fermer ces ports. Mais la première chose à faire est de changer le numéro de port par défaut pour RDP.

Changer le numéro de port par défaut

Suivez ces étapes pour changer le port RDP:

1. Sous Windows, allez dans Exécuter -> Tapez: regedit pour ouvrir l’éditeur de registre.
2. Recherchez la clé suivante:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Terminal Server WinStations RDP-Tcp

3. Dans le volet de droite, double-cliquez sur PortNumber.

4. Modifiez la valeur en Décimal et spécifiez le nouveau numéro de port entre 1001 et 254535.

5. Cliquez sur OK.

6. Fermez l’éditeur de registre et redémarrez votre ordinateur.

Avertissement: n’essayez pas ceci si vous n’êtes pas familier avec le registre Windows et l’édition du registre. Demandez à votre administrateur système de le faire pour vous.

Vérifiez si le port 3389 est ouvert et écoute

Vous pouvez ouvrir le port 3389 pour vous connecter à un ordinateur à distance et oublier de le fermer après la session. Ou un autre utilisateur peut avoir fait cela sur un appareil partagé.

Voici comment vous pouvez vérifier si le port est ouvert et à l’écoute:

1. Ouvert PowerShell en allant dans Run -> powershell
2. Exécutez la commande suivante: tnc 192.168.1.2 -port 3389
3. Dans cette commande, remplacez l’adresse IP 192.168.1.2 par l’IP de votre ordinateur. Remplacez-le par l’adresse IP publique de votre routeur si vous avez autorisé l’accès public à votre ordinateur via le routeur. La valeur résultante de TcpTest devrait être Vrai.

Vous pouvez également vérifier le port à l’aide de l’invite de commande ou de l’interface de ligne de commande (interface de ligne de commande), mais nous n’en discuterons pas ici, car cela dépasse le cadre de cet article.

Vous pouvez également utiliser un outil d’analyse de port ou d’analyse de vulnérabilité comme CurrPorts (NirSoft) qui analysera tous les ports et listera ceux qui sont ouverts.

Fermer le port 3389 (s’il est ouvert)

Cela peut être fait via la ligne de commande ou via un utilitaire tel que CurrPorts (NirSoft).

Exploiter les ports RDP pour déployer un ransomware

Si un pirate informatique comprend votre système via un port RDP 3389 ouvert, pour déployer un malware ou un ransomware, il peut effectuer les opérations suivantes:

• Installez un processus qui commence à crypter tous les documents, pdf, jpg et plusieurs autres formats de fichiers dans un formulaire d’archive RAR sécurisé. Après cela, ils pourraient supprimer les originaux.
• Installez un Script de stratégie de groupe qui active le compte Invité, lui définit un mot de passe inconnu et lui donne un accès complet à toutes les fonctions administratives, y compris RDP. Le script peut être configuré pour s’exécuter sur la connexion de n’importe quel utilisateur (tous les profils), désactivant ainsi le Compte d’invité ne tiendrait que jusqu’à la prochaine session lorsque l’administrateur se connectera.
• Verrouillez l’écran de connexion pour tous les utilisateurs sur le serveur avec un écran de tactique de peur des ransomwares prétendant être d’une autorité comme le FBI. Les frais de rançon, une adresse e-mail et le mode de paiement seront affichés sur cet écran.
• Antivirus et autres produits de sécurité désinstallés.
• Supprimez toutes les sauvegardes en ligne ou sur le système.
• Désactivé la clé de démarrage F8 pour empêcher le démarrage dans mode sans échec.
• Éteindre Copies instantanées sur tous les partages – et supprimez l’historique des révisions stockées des fichiers.
• Modifiez les autres paramètres de configuration du système pour rendre le système plus vulnérable aux attaques.

Eh bien, cela pourrait en ébranler un, s’ils ne le savaient pas déjà! Alors qu’est-ce que tu attends? Fermez votre port RDP ouvert maintenant!

Politiques de sécurité et meilleures pratiques

Nous suggérons également quelques autres choses pour sécuriser vos systèmes:

1. Utilisez une connexion VPN sécurisée au lieu de RDP pour accéder à distance aux bureaux.
2. Appliquez l’utilisation de mots de passe forts et le changement de mot de passe tous les 60 à 90 jours.
3. Définissez un seuil pour les tentatives de mot de passe – le système doit verrouiller l’utilisateur après trois tentatives de connexion infructueuses (mots de passe ratés).
4. Modifiez le nom par défaut de votre Compte administrateur.
5. Vérifier votre Politiques de groupe fréquemment.
6. Installez tous les correctifs du serveur et faites attention à Microsoft Patch Tuesday (mise à jour mardi) annonces (et avis similaires).

A propos de l’auteur

Brian Pereira est le rédacteur en chef de CISO MAG. Il écrit sur des concepts de technologie d’entreprise depuis 26 ans et a obtenu des certifications de base en cloud computing (IBM) et en cybersécurité (EC-Council).