Более 60% программ-вымогателей устанавливается с помощью функции удаленного доступа Windows под названием Remote Desktop Protocol (RDP), согласно данным Coveware. Этот протокол отлично подходит для защищенной среды но, в открытом Интернете может позволить злоумышленникам получить доступ к важной информации
В начале года специалисты компании Check Point сообщали о нахождении 25 уязвимостей в популярных RDP-клиентах для Windows и Linux. Исследователи провели аудит FreeRDP, rdesktop и встроенного в Windows RDP-клиента и предупреждают, что более десятка обнаруженных в этих решениях проблем могут использоваться для удаленного исполнения кода. Стоит отметить, что специалисты в основном концентрировались на векторах атак, исходящих со стороны вредоносного сервера. К примеру, такие атаки могут быть направлены на ничего не подозревающего администратора или сотрудника поддержки, не ожидающих «подвоха» от RDP.
Исследователи обнаружили, что RDP-сервер может использоваться для самых разных атак на удаленного клиента. Так, выяснилось, что во многих случаях не производится должная проверка длины пакетов, из-за чего сервер может направлять клиенту вредоносные пакеты, провоцируя на его стороне возникновение ошибок out-of-bounds чтения, переполнение целочисленного значения и подготавливая почту для RCE-атак.
Еще одной проблемой исследователи называют использование сервером и клиентом общего буфера обмена. Так как трафик не «очищается» должным образом, в буфер могут попадать данные, которые пригодятся злоумышленнику для атак на обход каталога, а также могут быть чреваты утечками информации, так как сервер может «подсматривать» за активностью в буфере клиента. Например, клиент локально копирует пароль администратора, и сервер «узнает» его тоже.
RDP лучше всего использовать в защищенной сети. Это мнение разделяют эксперты McAfee и Sophos, которые отмечают, что при отсутствии многофакторной аутентификации, взлом протокола может занять всего несколько часов, угадывая распространенные пароли.
Даже в идеальных условиях, когда пароли надежны, злоумышленник может перегрузить RDP-соединение DDoS-атакой. Согласно исследованию ИБ-компании Expanse, около 53,4% компаний из списка Fortune 500 подвергались воздействию RDP-атаки в течение двухнедельного периода сканирования на наличие открытых портов.
Техническая оснащенность компаний, похоже, не оказала существенного влияния на статистику подверженности рискам RDP. Например, около 80% предприятий гостиничного бизнеса и чуть менее 80% предприятий оборонной и аэрокосмической промышленности имеют, по крайней мере, одну уязвимость, хотя оборонка и аэрокосмическая промышленность относятся к числу наиболее ответственных с точки зрения безопасности секторов.
Бюджет кибербезопасности, выраженный в процентах от годового бюджета или общих расходов, также не оказал последовательного влияния на подверженность риску. В процентном отношении к бюджету, 43% компаний в квартиле с наименьшими затратами подвергались риску, по сравнению с 53% компаний в квартиле с наибольшими затратами.
Угроза взлома через RDP часто остается вне поля зрения специалистов, так как часто они не знают, что стоит ожидать атак подобного рода.
Согласно отчёту, выпущенному фирмой кибербезопасности ImmuniWeb, за последние 12 месяцев в Даркнет Сети попало порядка 16 млн паролей ведущих мировых предприятий. Используя собственную методологию, ImmuniWeb обнаружила более 21 млн учетных данных, принадлежащих компаниям из списка Fortune 500, в том числе 16 миллионов записей, датируемых последними 12 месяцами.
Наиболее популярными источниками этой информации, по заявлению экспертов, являются посторонние веб-сайты и другие ресурсы, напрямую не связанные со взломанными организациями. На втором месте — доверенные партнёры, продавцы и поставщики компаний из Fortune 500.
Несмотря на то, что в каждой из новостей об очередном взломе настоятельно советуют выбирать надёжные пароли, только 23 процента (4,9 млн) из всех 21 млн проанализированных записей имели действительно уникальные пароли. В то же время широко использовались тривиальные, легко угадываемые комбинации, вроде 12345678, abc123 или даже «password».
Джаррод Оверсон, директор по инженерным вопросам фирмы кибербезопасности Shape Security, отметил, что применение учётных записей, это один из самых распространенных типов атак, потому что он дёшев и эффективен. Это относится к атаке методом «брутфорса», в которой пароли от предыдущего взлома используются для попыток входа в другие службы.
