Sicherheitsrisiko RDP
Remote Desktop Protocol wird zum Ransomware Deployment Protocol
Palo Alto Networks erläutert die Sicherheitsrisiken durch RDP-Nutzung
Das Remote Desktop Protocol (RDP) ist seit Jahren der beliebteste ursprüngliche Angriffsvektor für Ransomware. Für den 2020 Unit 42 Incident Response and Data Breach Report untersuchte Unit 42 Daten von über 1.000 Vorfällen und fand heraus, dass in 50 Prozent der Ransomware-Fälle RDP der anfängliche Angriffsvektor war. Im 2021 Cortex Xpanse Attack Surface Threat Report fanden die Forscher von Cortex Xpanse heraus, dass RDP für 30 Prozent der gesamten Angriffe verantwortlich war, was mehr als das Doppelte des nächsthäufigsten Angriffs ist.
RDP ist ein Protokoll auf Microsoft Windows-Systemen, das es Benutzern ermöglicht, sich aus der Ferne mit einem entfernten System zu verbinden und dieses zu steuern. Der häufigste legitime Verwendungszweck besteht darin, dem IT-Support die Möglichkeit zu geben, das System eines Benutzers aus der Ferne zu steuern, um ein Problem zu beheben. In jüngster Zeit ist RDP auch für das Cloud-Computing populär geworden, um auf virtuelle Maschinen (VMs) in Cloud-Umgebungen zuzugreifen oder um Cloud-Ressourcen aus der Ferne zu verwalten.
Es ist extrem einfach, RDP unbeabsichtigt freizulegen, indem man RDP auf einem vergessenen System, einer Cloud-Instanz oder einem zuvor durch Netzwerksegmentierung geschützten Gerät offenlässt oder eine direkte Verbindung zum Internet herstellt. Noch schlimmer ist, dass RDP zunehmend verbreitet und gefährdet ist. RDP stellt ein immer größeres Risiko dar, das zu Angriffen, insbesondere zur Verbreitung von Ransomware, Datenverlusten, teuren Ausfallzeiten und Abhilfemaßnahmen sowie zur Schädigung der Marke eines Unternehmens führen kann.
Mehr Gefährdungen bedeuten mehr Angriffsziele
Die COVID-19-Pandemie führte zunächst zu einem Anstieg der Telearbeit von Zuhause aus, was bedeutete, dass Laptops aus dem sicheren Raum eines Büronetzwerks mit Firewall in Heimnetzwerke verlagert wurden, in denen die Sicherheit nicht berücksichtigt wurde. Die IT-Abteilung war auf diese Verlagerung nicht vorbereitet, so dass neue Laptops angeschafft und sehr schnell an die Außendienstmitarbeiter verschickt werden mussten. Diese Schnelligkeit führte zu Fehlern und mehr RDP-Belastungen. Die Umstellung auf Fernarbeit verschärfte auch die Risiken, die mit flüchtigen dynamischen DNS verbunden sind.
Computer in Büronetzwerken mit zugewiesenen IP-Adressen sind leicht zu inventarisieren und zu verfolgen. In Privathaushalten haben die Computer IP-Adressen, die sich täglich ändern können, da die Internetdienstanbieter (ISPs) die Adressen dynamisch zuweisen. Außerdem können diese Remote-Ressourcen von zu Hause in ein Café oder zu einem Freund und wieder zurückwandern und jedes Mal eine neue IP-Adresse erhalten. Dieses Risiko besteht schon seit langem, aber derzeit gibt es mehr Remote-Mitarbeiter als je zuvor.
Der Unit 42 Cloud Threat Report, 1H 2021 ergab, dass die RDP-Bedrohungen zwischen dem ersten Quartal 2020 (vor COVID-19) und dem zweiten Quartal 2020 (nach COVID-19) bei allen Cloud-Anbietern um 59 Prozent gestiegen sind. Es ist einfacher denn je, neue Cloud-Instanzen einzurichten, und die Wahrscheinlichkeit, dass dabei Fehler gemacht werden, nimmt zu.
RDP ist also allgegenwärtig, ein wichtiges Ziel für Bedrohungsakteure und häufig der erste Angriffsvektor bei Ransomware-Angriffen. Leider gibt es noch eine weitere schlechte Nachricht. Laut dem Cortex Xpanse Report war RDP für 32 Prozent aller Sicherheitsprobleme verantwortlich, die in den ersten drei Monaten des Jahres 2021 bei Scans von 50 Millionen IP-Adressen in 50 globalen Unternehmen festgestellt wurden.
Warum RDP gefährlich ist
RDP ist ein beliebtes Ziel von Bedrohungsakteuren, da ein Angreifer, sobald er sich Zugang verschafft hat, vollen Zugriff auf das System hat – bis zur Ebene des kompromittierten Benutzerkontos. Wenn ein Administratorkonto angegriffen wird, ist das eine Katastrophe. Aber selbst wenn ein eingeschränkteres Benutzerkonto kompromittiert wird, muss der Angreifer nur eine weitere Schwachstelle auf dem System finden, um die Berechtigungen zu erhöhen und weiteren Zugriff zu erhalten.
Für böswillige Angreifer reicht ein einfaches nmap-Skript, das das Internet nach einem offenen Port 3389, dem Standard-RDP-Port, durchsucht, um eine RDP-Schwachstelle zu finden. Heutzutage suchen Angreifer ständig nach Port 3389. Angreifer suchen nach offenen RDP-Ports, oft mit dem Ziel, Ransomware zu installieren.
Laut einer Untersuchung von Cortex Xpanse können Angreifer das gesamte Internet in nur 45 Minuten scannen. Wenn also RDP offen ist, wird es gefunden, und es gibt mehrere Möglichkeiten für Angreifer, sich Zugang zu verschaffen:
- Verwendung gestohlener Zugangsdaten zur Anmeldung.
- Brute-Force-Anmeldung (wenn die Implementierung unbegrenzte Anmeldeversuche zulässt).
- Durchführung eines Man-in-the-Middle-Angriffs, wenn es sich um eine veraltete Version von RDP handelt oder die Verschlüsselung fehlerhaft ist.
- Ausnutzung bekannter Schwachstellen in älteren Versionen von RDP, wie z. B. BlueKeep.
Vermeiden der Ransomware-Lotterie
Kriminelle sind nicht immer auf der Suche nach bestimmten Zielen. Meistens suchen sie nur nach Schwachstellen und hoffen, dass ein Angriff zu einer Auszahlung führt. Ransomware ist ein böswilliges Lotteriesystem, und Unternehmen spielen mit, indem Sie einfach die Tür mit Schwachstellen, wie RDP, offenlassen.
Der erste Schritt für jedes Unternehmen besteht darin, das RDP-Risiko zu begrenzen, indem es schneller als seine Gegner nach Schwachstellen sucht und sicherstellt, dass es einen vollständigen Überblick und ein vollständiges System von Aufzeichnungen für alle mit dem Internet verbundenen Geräte hat. Diese Aufzeichnungen müssen ständig aktualisiert werden, da neue Geräte auftauchen können und bekannte Geräte ihre Einstellungen auf riskante Weise geändert haben könnten. Schwachstellen-Scanner können diese Schwachstellen nicht finden, wenn sie sich außerhalb des IP-Raums befinden, daher müssen sie von außen nach innen gescannt werden. Führende Unternehmen verwenden die MTTI (Mean Time to Inventory), um zu messen, wie schnell sie eine vollständige Bestandsaufnahme durchführen und potenzielle Schwachstellen bewerten können.
Die wichtigste Methode, um sicherzustellen, dass Unternehmen keine unnötigen RDP-Expositionen haben, besteht darin, RDP auf allen Systemen zu deaktivieren, auf denen es nicht erforderlich ist. Für Systeme, auf denen RDP erforderlich ist, gilt es Sicherheitsmaßnahmen zu ergreifen:
- Stellen Sie RDP hinter ein virtuelles privates Netzwerk (VPN).
- Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Die beste Möglichkeit, das Risiko gestohlener Anmeldedaten zu verringern, ist die Aktivierung von MFA für alle Benutzerkonten.
- Anmeldeversuche begrenzen. Um das Risiko von Brute-Force-Angriffen zu verringern, sollten Sie die Anzahl der fehlgeschlagenen Anmeldeversuche begrenzen, anstatt unbegrenzte Versuche zuzulassen.
- Legen Sie Zeitlimits für unterbrochene Sessions fest und beenden Sie automatisch Sessions, die dieses Limit erreichen.
- Ziehen Sie eine Zulassen-Liste in Betracht, damit nur zugelassene IP-Adressen eine Verbindung zu RDP-Servern herstellen können.
- Setzen Sie eine Lösung zur Überwachung der Angriffsfläche im Internet ein, z. B. Cortex Xpanse, um RDP oder andere Fernzugriffsdienste auf unbeabsichtigte Angriffe zu überwachen.
RDP zu einer Priorität machen
Inzwischen sollte klar sein, warum RDP „Ransomware Deployment Protocol“ bedeutet. Die RDP-Konfiguration sollte in allen IT-Hygieneplänen eine hohe Priorität haben. Es handelt sich um ein Protokoll mit gefährlichen Standardeinstellungen, und es ist für einen Benutzer viel zu einfach, es zu aktivieren oder auf riskante Weise zu verwenden.
Wenn es nicht ordnungsgemäß konfiguriert ist, wird RDP als Angriffsvektor genutzt, wenn das Unternehmen von Ransomware-Betreibern angegriffen wird. Dies ist kein theoretisches Risiko. Es ist eine einfache Tatsache der IT. Ungesichertes RDP wird irgendwann gegen das Unternehmen verwendet werden. Unabhängig davon, ob man beabsichtigt, RDP öffentlich zugänglich zu machen oder nicht, finden diese Angriffe im gesamten Internet statt und nicht nur im bekannten IP-Bereich. Das bedeutet, dass Verteidiger auf Internetebene nach unbeabsichtigten oder falsch konfigurierten Implementierungen suchen müssen, denn sie können sicher sein, dass auch die Angreifer dies tun.