Vírusový radar: Je váš vzdialený prístup otvorenou bránou pre kriminálnikov?

Bezpečnosť
0
Práca z domu je dnes v kurze viac ako kedykoľvek predtým, no bez prístupu do interných systémov na diaľku by nebola dobre možná. Mnohé firmy na tieto účely využívajú Remote Desktop Protocol (RDP) od Microsoftu, ktorý však pri nesprávnej konfigurácii či slabom zabezpečení môže predstavovať doslova otvorené dvere pre kyberzločincov.

To sa potvrdilo aj v čase koronavírusu, keď sme zaznamenali rastúci počet bezpečnostných incidentov, pri ktorých sa útočníci vzdialene snažili pripojiť na Windows servery z internetu prostredníctvom RDP.

Z verejne dostupných prípadov pritom vyplýva, že najčastejšie nasleduje inštalácia ransomvéru a zašifrovanie dát, inštalácia soft­véru na ťažbu kryptomien alebo pridanie backdooru, ktorý útočníkom umožňuje prístup k napadnutým zariadeniam aj v prípade, že ich aktivitu cez RDP administrátor odhalí a zablokuje.

Nejde však o jediné riziká spojené s útokmi na diaľku, najmä v prípade, ak v nesprávnych rukách skončí administrátorský prístup. Ten totiž útočníkom umožňuje vypnúť či odinštalovať bezpečnostné riešenie (ak nie je chránené heslom), vymazať logy a zamiesť tak po sebe stopy či vypnúť zálohovanie, prípadne zálohy úplne vymazať.

Cez vzdialený prístup môžu zločinci tak­isto kradnúť citlivé dáta, čo je momentálne trendom najmä medzi ransomvérovými operátormi zo skupín Maze, Sodinokibi, DoppelPaymer, AKO, CLoP a ďalších. Tí tak okrem šifrovania diskov obete získavajú ďalšiu páku, keďže sa môžu vyhrážať zverejnením informácií online. Pre firmy to znamená najmä riziko vysokých pokút v rámci GDPR, ale aj verejné poškodenie reputácie.

Čo by teda firmy mali robiť, aby sa vyhli podobnému katastrofickému scenáru?

• Prvý krok je prestať využívať RDP na priame pripájanie na firemné servery prostredníctvom internetu, prípadne vzdialený prístup k nim obmedziť len pre zamestnancov, ktorí ho naozaj potrebujú. Toto však môže byť v čase pandémie obzvlášť problematické, keďže veľká časť zamestnancov pracuje na diaľku v rôznych karanténnych režimoch.

• Administrátori by tiež mali zakázať externé pripojenia k lokálnym počítačom na porte 3389 (TCP/UDP) vo firewalle na okraji siete. Ak sa vo firme využíva iný ako predvolený port, sú rovnaké opatrenia potrebné aj pre jeho novú hodnotu.

• Pred brute force útokmi proti RDP dokážu čiastočne chrániť aj niektoré bezpečnostné riešenia, ktoré sú schopné zaznamenať a zablokovať distribuované útoky z externých IP adries.

• Všetky účty, do ktorých sa dá prihlásiť cez RDP, by tiež mali využívať komplexné heslá, resp. frázy obsahujúce minimálne 15 znakov. Ak je to možné, odporúča sa takisto pridať ďalší faktor overenia, napríklad v podobe časovo obmedzeného kódu.

• Firmy by mali využívať virtuálne súkromne siete (VPN) na sprostredkovanie všetkých externých pripojení cez RDP, ktoré neprichádzajú z lokálnej siete. Za zváženie stojí aj zavedenie blokovania na bráne VPN na základe GeoIP.

• Ďalšie odporúčanie od expertov ESETu je nastaviť pre pripojenia klienta RDP „vysokú“ úroveň šifrovania, prípadne jeho najvyššiu dostupnú úroveň. Ak sú vo firemnej sieti akékoľvek nezabezpečené počítače, ktoré musia byť prístupné z internetu prostredníctvom RDP, mali by byť izolované.

• Vážnej hrozbe sa vystavujú aj organizácie, ktoré majú v sieti počítače so systémom Windows Server 2008 alebo Windows 7 a sú prístupné cez RDP. Používaním týchto alebo iných nepodporovaných verzií operačného systému sa totiž výrazne rozširuje škála možných útokov. Ak je to možné, nahraďte tento zastaraný softvér novšími verziami.

Komplexný návod, ako si správne a bezpečne nastaviť vzdialený prístup, si môžete prečítať v RDP dokumente (https://lnk.sk/xDQR), ktorý sme pripravili práve v snahe ochrániť firmy v čase pandémie.

 

Ondrej Kubovič, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať