Catégories
Uncategorized

Cybersécurité: Haro sur les ports RDP lors d’une pandémie

Comme de plus en plus de personnes travaillent à distance, les cyberattaques ciblant les ports RDP ouverts ont considérablement augmenté, comme le montrent diverses études.

Comme nous le savons, en raison de la pandémie de Covid-19, un grand nombre d’entreprises ont dû permettre à leurs employés de travailler à domicile. Mais cette délocalisation du travail à distance a également entraîné l’exposition de plus de 1,5 million de serveurs RDP supplémentaires (Remote Desktop Protocol) à Internet. Aux États-Unis, le nombre d’attaques contre des ports RDP ouverts a plus que triplé en mars et avril. Peu d’entreprises disposaient d’un stock important d’ordinateurs portables qu’ils pouvaient livrer rapidement à leurs employés pour leur permettre de travailler à distance. Cela est particulièrement vrai pour le personnel qui travaille sur des postes de travail équipés de logiciels hérités personnalisés qui ne fonctionnent que sur certaines versions de Windows.

Étant donné que les équipes informatiques doivent également travailler à domicile, la nécessité d’une gestion à distance des serveurs sur site est également un problème courant auquel sont confrontées les entreprises. Bien que la technologie RDP intégrée à Windows facilite la résolution des problèmes de gestion d’ordinateurs à distance, elle peut également introduire une sérieuse connexion faible si elle est appliquée de manière non sécurisée.

RDP, problème grave, pire

RDP est une cible fréquente de saturation d’ID et d’autres attaques violentes visant à deviner les mots de passe. Ces attaques utilisent généralement des listes de noms d’utilisateur courants et des combinaisons de mots de passe ou d’informations d’identification volées provenant d’autres sources. Certains cybercriminels se spécialisent même dans la vente d’identifiants RDP volés à d’autres pirates du marché clandestin, qui les utilisent ensuite pour déployer leurs rançongiciels et mineurs de crypto-monnaie ou pour mener des attaques plus sophistiquées et voler des données sensibles ou des compromis plus larges. les réseaux. « McAfee ATR a vu une augmentation des attaques contre les ports RDP et le nombre d’identifiants RDP vendus sur les marchés souterrains », ont déclaré des chercheurs de la société de sécurité McAfee dans un rapport.

La société note que le nombre de ports RDP exposés à Internet est passé d’environ trois millions en janvier à plus de 4,5 millions en mars. Plus d’un tiers de ces ports se trouvent aux États-Unis et un tiers en Chine. Plus de la moitié des machines avec des ports RDP exposés exécutent la version Windows Server, mais environ un cinquième d’entre elles s’exécutent sur Windows 7, un système d’exploitation que Microsoft ne prend plus en charge et ne reçoit plus de mises à jour. journée de la sécurité. Ceci est une préoccupation car, en plus du mot de passe faible souvent configuré, les ports RDP ont également été affectés par un certain nombre de vulnérabilités et ont fait l’objet de nombreuses cibles au fil des ans.

Environ la moitié de tous les identifiants RDP vendus sur le marché clandestin concernent des machines situées en Chine. Il est suivi par le Brésil, Hong Kong, l’Inde et les États-Unis. Le nombre d’identifiants pour les hôtes RDP basés aux États-Unis est assez faible, ne représentant que 4% du total, mais McAfee estime que cela est probable parce que les pirates qui vendent ces identifiants ne font pas de leur mieux dans leurs listes et conservent les identifiants et hôtes les plus précieux pour vous-même ou réservez-les pour une vente plus privée et sélective.

Les attaques RDP remontent

Dans un autre rapport récemment publié par Atlas VPN, le nombre d’attaques RDP a considérablement augmenté aux États-Unis, en Espagne, en Italie, en Allemagne, en France, en Russie et en Chine depuis le 10 mars. . Cette augmentation est tout à fait conforme au début des restrictions de population et des mesures de restriction appliquées dans le monde entier en réponse à la pandémie de Covid-19. « Aux États-Unis, les attaques ont culminé le 7 avril 2020, avec un total de 1 417 827 attaques », a indiqué le fournisseur dans son rapport. « En comparant la période du 9 février au 9 mars 2020 avec celle du 10 mars au 10 avril 2020, les attaques du RDP aux États-Unis ont bondi de 330%. » Entre le 10 mars et le 15 avril, le fournisseur a enregistré 148 millions d’attaques RDP dans le monde. Plus de 32 millions d’entre eux ont été détectés aux États-Unis, soit près de 900 000 attaques en moyenne par jour. « Ces attaques essaient systématiquement de nombreuses combinaisons de noms d’utilisateur et de mots de passe jusqu’à ce qu’ils trouvent la bonne », a expliqué Atlas VPN. « S’il réussit, les cybercriminels obtiennent un accès à distance à l’ordinateur ou au serveur cible dans le réseau d’entreprise. »

Protéger RDP

Tout d’abord, il convient de garder à l’esprit que l’exposition d’un port RDP directement à Internet n’est pas une bonne pratique de sécurité, même si l’entreprise a adopté de bonnes pratiques concernant les identifiants robustes, utilise des certificats numériques et a opté pour l’authentification à deux facteurs. Les correctifs lents peuvent toujours exposer les serveurs de vulnérabilité RDP. Cela devrait toujours être disponible uniquement via une connexion VPN sécurisée au réseau d’entreprise ou via une passerelle distante de confiance zéro.

Voici quelques conseils pour sécuriser les ports RDP:

– Ne laissez pas les connexions RDP s’ouvrir directement sur Internet.

– Utilisez des mots de passe complexes et une authentification multifactorielle.

– Désactivez les utilisateurs et bloquez ou retardez les adresses IP qui ont échoué à trop de tentatives de connexion.

– Utilisez une passerelle RDP.

– Restreignez l’accès au compte de l’administrateur de domaine.

– Réduisez le nombre d’administrateurs locaux.

– Utilisez un pare-feu pour restreindre l’accès.

– Activez le mode administrateur restreint.

– Activez l’authentification en ligne (NLA).

– Assurez-vous que les comptes administratifs locaux sont uniques et limitez les utilisateurs qui peuvent se connecter à l’aide de RDP.

– Envisagez de vous positionner dans le réseau.

– Envisagez d’utiliser une convention de dénomination des comptes qui ne divulgue pas les informations de l’entreprise.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.