1.远程桌面脆弱点
2018年9月27日,IC3发布了针对Windows远程桌面协议(RDP)脆弱点的攻击活动变得活跃的预警,相关信息参考:
https://www. ic3. gov/media/2018/180927.aspx
根据公告,主要为远程桌面协议(RDP)未加固安全配置(非新的漏洞)引发的攻击尝试,虽然针对远程桌面协议(RDP)的攻击活动历史上一直都有,但随着近年来勒索软件的多样发展,远程桌面成为了勒索软件经营团伙比较偏爱的入口,目前网上存在大量开放了远程桌面协议(RDP)的主机,RDP服务默认端口为:TCP 3389,建议尽快做好安全加固配置,以防止被恶意攻击。
2.脆弱点描述
远程桌面协议(RDP)的未加固安全配置主要存在以下脆弱点:
弱密码,当给用户账号设置的密码为字典单词或不同时包含大写、小写字母,数字和特殊字符的混合密码时,容易受到暴力破解攻击;
未更新的RDP版本使用的CredSSP(凭证安全支持提供程序)协议存在比较新的漏洞(CVE-2018-0886),容易导致被中间人攻击从而被截取到用户密码;
面向互联网不受限制的开放远程桌面协议3389端口,容易导致被僵尸网络自动扫描到端口并加入暴力破解目标任务清单;
未对登录失败尝试次数做限制,容易受到暴力破解攻击。
3.影响版本范围
主要影响开启了远程桌面协议(RDP)又未对其安全加固的Windows系统,已知以下勒索蠕虫利用了RDP做为目标攻击:
CrySiS勒索软件:通过扫描RDP端口并暴力破解密码,成功破解密码后植入勒索软件并执行加密,然后要求支付比特币解密;
CryptON勒索软件:通过扫描RDP端口并暴力破解密码,成功破解密码后攻击者登录系统手动执行加密,然后要求支付比特币解密;
Samsam勒索软件:Samsam使用多种攻击方式,扫描RDP端口并暴力破解密码是其中之一,成功破解密码后攻击者登录系统手动执行加密,然后要求支付比特币解密;
暗网交易:暗网(Dark Web)上有用户公开叫卖开放远程桌面协议(RDP)的Windows主机权限。
4.缓解措施(安全运营建议)
高危:目前针对远程桌面协议(RDP)的攻击活动变得活跃,建议尽快做好安全加固配置。
安全运营建议:
如果需要开启远程桌面进行系统管理,建议开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问。
启用本地安全策略(账户策略-密码策略),建议开启密码必须符合复杂性要求和长度最小值,以及启用账户锁定阀值。
考虑使用双因素身份验证措施,比如启用动态Key方式。
保持系统安全更新补丁为最新状态,远程桌面协议(RDP)为内核服务,安装安全更新补丁后需要重启系统生效。
开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档,以便预警和分析其入侵企图。