La capacité des pirates à exploiter presque toutes les vulnérabilités constitue l’un des plus grands défis des forces de l’ordre - et des petites entreprises. Le Federal Bureau of Investigation (FBI) a récemment lancé un avertissement aux entreprises et à d’autres personnes concernant une autre menace. Les pirates ont commencé à exploiter le protocole RDP (Remote Desktop Protocol) pour mener des activités malveillantes plus fréquemment.
Selon le FBI, l'utilisation du protocole Remote Desktop en tant que vecteur d'attaque a augmenté depuis le milieu à la fin de 2016. L'augmentation du nombre d'attaques RDP est en partie due aux marchés sombres qui vendent l'accès au protocole Remote Desktop. Ces mauvais acteurs ont trouvé des moyens d'identifier et d'exploiter les sessions RDP vulnérables sur Internet.
$config[code] not foundPour les petites entreprises qui utilisent RDP pour contrôler leurs ordinateurs à la maison ou au bureau à distance, une vigilance accrue est nécessaire, notamment la mise en place de mots de passe forts et leur modification régulière.
Dans son annonce, le FBI avertit: "Les attaques utilisant le protocole RDP ne nécessitent pas l'intervention de l'utilisateur, ce qui rend les intrusions difficiles à détecter."
Qu'est-ce que le protocole de bureau à distance?
Conçu pour l'accès et la gestion à distance, RDP est une méthode Microsoft permettant de simplifier le transfert de données d'application entre les utilisateurs clients, les périphériques, les bureaux virtuels et un serveur de terminal Remote Desktop Protocol.
En termes simples, RDP vous permet de contrôler votre ordinateur à distance pour gérer vos ressources et accéder aux données. Cette fonctionnalité est importante pour les petites entreprises qui n’utilisent pas le cloud computing et qui dépendent de leurs ordinateurs ou de leurs serveurs installés sur site.
Ce n'est pas la première fois que RDP présente des problèmes de sécurité. Dans le passé, les premières versions présentaient des vulnérabilités qui les rendaient vulnérables à une attaque de type "man-in-the-middle" donnant un accès non autorisé aux attaquants.
Entre 2002 et 2017, Microsoft a publié des mises à jour qui corrigent 24 vulnérabilités majeures liées au protocole de bureau à distance. La nouvelle version est plus sécurisée, mais l’annonce du FBI indique que les pirates informatiques l’utilisent toujours comme vecteur d’attaques.
Piratage de protocole de bureau à distance: les vulnérabilités
Le FBI a identifié plusieurs vulnérabilités - mais tout commence par des mots de passe faibles.
Selon l'agence, si vous utilisez des mots du dictionnaire et que vous n'incluez pas une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux, votre mot de passe est vulnérable aux attaques par force brute et par dictionnaire.
Le protocole de bureau à distance obsolète utilisant le protocole CredSSP (Credential Security Support Provider) présente également des vulnérabilités. CredSSP est une application qui délègue les informations d’identité de l’utilisateur du client au serveur cible pour l’authentification à distance. Un RDP obsolète permet de potentiellement lancer des attaques de type man-in-the-middle.
Parmi les autres vulnérabilités, citons l’autorisation d’accès illimité au port par défaut du protocole de bureau à distance (TCP 3389) et le nombre illimité de tentatives de connexion.
Piratage de protocole de bureau à distance: menaces
Voici quelques exemples de menaces répertoriées par le FBI:
CrySiS Ransomware: CrySIS ransomware cible principalement les entreprises américaines par le biais de ports RDP ouverts, en utilisant à la fois des attaques par force brute et des attaques par dictionnaire pour obtenir un accès distant non autorisé. CrySiS dépose ensuite son logiciel de rançon sur l’appareil et l’exécute. Les acteurs de la menace exigent un paiement en Bitcoin en échange d’une clé de déchiffrement.
CryptON Ransomware: CryptON ransomware utilise des attaques par force brute pour accéder aux sessions RDP, puis permet à un acteur menaçant d’exécuter manuellement des programmes malveillants sur la machine compromise. Les cyberacteurs demandent généralement Bitcoin en échange d’instructions de déchiffrement.
Samsam Ransomware: Samsam ransomware utilise un large éventail d’exploits, y compris ceux qui s’attaquent aux machines compatibles RDP, pour réaliser des attaques par force brute. En juillet 2018, les acteurs de la menace Samsam ont utilisé une attaque par force brute sur les identifiants de connexion RDP pour infiltrer une société de soins de santé. Le logiciel de ransomware était capable de chiffrer des milliers de machines avant d'être détecté.
Dark Web Exchange: Les acteurs de la menace achètent et vendent des identifiants de connexion RDP volés sur le Web sombre. La valeur des informations d'identification dépend de l'emplacement de la machine compromise, du logiciel utilisé dans la session et de tout attribut supplémentaire augmentant la convivialité des ressources volées.
Piratage de protocole de bureau à distance: comment vous protéger?
Il est important de se rappeler que chaque fois que vous essayez d'accéder à quelque chose à distance, il y a un risque. De plus, étant donné que le protocole de bureau à distance contrôle entièrement un système, vous devez réguler, surveiller et gérer les personnes qui ont un accès étroit.
En appliquant les meilleures pratiques suivantes, le FBI et le département américain de la Sécurité intérieure déclarent que vous avez une meilleure chance contre les attaques basées sur RDP.
- Activez les stratégies de mots de passe forts et de verrouillage de compte pour vous protéger contre les attaques par force brute.
- Utilisez une authentification à deux facteurs.
- Appliquez les mises à jour système et logicielles régulièrement.
- Ayez une stratégie de sauvegarde fiable avec un système de récupération puissant.
- Activez la journalisation et assurez-vous que les mécanismes de journalisation permettent de capturer les connexions au protocole Remote Desktop. Conservez les bûches pendant au moins 90 jours. Dans le même temps, vérifiez les connexions pour vous assurer que seules les personnes ayant un accès les utilisent.
Vous pouvez consulter le reste des recommandations ici.
Les manchettes sur les violations de données font régulièrement la une des journaux, et les grandes organisations disposent de ressources apparemment illimitées. Bien qu'il puisse sembler impossible de protéger votre petite entreprise de toutes les cybermenaces existantes, vous pouvez minimiser vos risques et votre responsabilité si vous disposez des protocoles appropriés avec une gouvernance stricte pour toutes les parties.
Image: FBI
