Hackere misbruger RDP-fjernadgange

It-sikkerhedsansvarlige bør være særligt opmærksomme, når flere medarbejdere bruger fjernadgange til at arbejde hjemmefra. Det er kendt, at cyberkriminelle udnytter sårbare RDP-adgange til angreb med blandt andet malware.
27. marts, 2020 - Kl. 10.55
[Oprindeligt publiceret af Center for Cybersikkerhed]

Mange myndigheder og virksomheder har i forbindelse med den igangværende Corona-pandemi for nylig øget brug af fjernadgange for at muliggøre hjemmearbejde, herunder fjernadgang via Remote Desktop Protocol (RDP).


Cyberkriminelle misbruger imidlertid hyppigt sårbare RDP-adgange i cyberangreb, herunder målrettede ransomware-angreb. Videregivelse og salg af kompromitterede RDP-adgange er derfor udbredt i kriminelle kredse.


Danske myndigheder og virksomheder bør være opmærksomme på, at RDP-opsætninger uden tilstrækkelig sikkerhed let kan fremfindes af hackere. En søgning via søgemaskinen Shodan for åbne port 3389 (standardport) i Danmark med direkte adgang finder over 5.000 danske IP-adresser.


Hvis RDP-adgangen ikke er beskyttet af for eksempel flerfaktor-autentifikation eller en VPN-løsning, kan den potentielt kompromitteres ved at gætte brugernavn og password, særligt hvis der benyttes simple brugernavne og svage password. Cyberkriminelle har udviklet et nyt modul til den meget udbredte malware TrickBot, som specifikt er designet til at foretage brute-force angreb mod RDP-adgange. Trickbot benyttes også i målrettede ransomware-angreb.


Anbefalinger til de it-sikkerhedsansvarlige


Center for Cybersikkerhed anbefaler at:

• Anvendelsen af privilegerede services, herunder RDP via internettet, bør altid ske ved anvendelse af VPN eller RDP Gateway
• Brugere bør altid autentificeres ved brug af to-faktor autentifikation, når de tilgår organisationens it-systemer via RDP
• Organisationer bør holde sig opdateret om de nyeste RDP versioner. I januar 2020 patchede Microsoft for eksempel en kritisk sårbarhed i RDP Gateway:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610
• Brugeradgang bør altid valideres med stærke password. Se i den forbindelse Center for Cybersikkerheds passwordvejledning
https://fe-ddis.dk/cfcs/publikationer/Documents/Vejledning-Passwordsikkerhed.pdf
• RDP-brugere bør låses ude ved gentagen indtastning af forkert password
• Hvis det er nødvendigt at åbne for RDP igennem perimeter firewall, så overvej at anvende en anden port end standardporten 3389. Det bør sikres at alle medarbejderkonti, der ikke anvendes for eksempel på grund af ophør af ansættelsesforholdet bliver lukket.

For mere information, se eventuelt: https://security.berkeley.edu/education-awareness/best-practices-how-tos/system-application-security/securing-remote-desktop-rdp