Rdp blijft nachtmerrie voor systeembeheerders

Dit artikel delen:

Remote desktop protocol (rdp) blijft een nachtmerrie voor systeemadministrators en it-managers. Bij de grootste ransomware-aanvallen in het afgelopen jaar - Matrix en SamSam – werd rdp ingezet.

Dat blijkt uit recent onderzoek van Sophos. De security-problemen met het protocol zijn evenwel niet nieuw. Het beveiligingsbedrijf rapporteert, naar eigen zeggen, al sinds 2011 over cybercriminelen die rdp uitbuiten.

Het remote desktop protocol-onderzoek laat zien hoe aanvallers rdp-apparatuur vinden zodra deze apparaten online komen. Om dit te demonstreren, heeft Sophos tien geografisch verspreide honeypots ingezet om rdp-gebaseerde risico's te meten en te kwantificeren. Alle tien honeypots ontvingen binnen één dag hun eerste rdp-inlogpoging. 

De tien rdp-honeypots kregen gecombineerd 4.298.513 mislukte inlogpogingen gedurende een periode van dertig dagen. Ofwel: één poging elke zes seconden. Ook bleek dat het remote desktop protocol de pc's in slechts 84 seconden kon blootstellen.

BlueKeep

De mogelijke problemen rond rdp zijn niet nieuw. Onlangs raakte een fout in de remote rdp-code BlueKeep (oftewel CVE-2019-0708) breed bekend. ‘Deze kwetsbaarheid is zo ernstig is dat het kan worden gebruikt om ​​ransomware-uitbraken in gang te zetten die zich in no-time over de hele wereld kunnen verspreiden’, beweert Matt Boddy, securityspecialist bij Sophos.

De beveiliging tegen rdp-dreigingen gaat, volgens hem, veel verder dan patchen tegen Blue Keep. ‘Het is slechts het topje van de ijsberg. Los van BlueKeep moeten it-managers veel meer tijd besteden aan rdp’, meent hij.

Drie patronen

Sophos heeft op basis van het onderzoek drie aanvalspatronen geïdentificeerd, die het zelf omschrijft als ram, zwerm of egel. 

De ram is een criminele strategie om het wachtwoord van de systeemadministrator te onthullen, bijvoorbeeld binnen een tijd van tien dagen ruim honderdduizend inlogpogingen met een beperkt aantal gebruikersnamen. 

De egel kenmerkt zich door uitbarstingen van activiteiten gevolgd door langere perioden van inactiviteit. De zwerm is tenslotte een strategie die gebruikmaakt van sequentiële gebruikersnamen en een eindig aantal van de slechtste wachtwoorden. Of hoe drie patronen (en één protocol) voor onheil kunnen zorgen.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-07-18T13:27:00.000Z William Visterin
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.