Méfiez-vous d’un nouveau et dangereux exploit RDP
Le RDP peut être un défi à mettre en œuvre – voici quelques étapes que vous pouvez suivre pour sécuriser son utilisation
Le protocole RDP (Remote Desktop Protocol) souvent exploité fait à nouveau l’actualité. Cette fois, il a un nouveau vecteur d’attaque qui a été découvert par des chercheurs et corrigé par la suite plus tôt ce mois-ci par Microsoft.
Le RDP a une fonction précieuse dans la connectivité d’aujourd’hui. Il est souvent utilisé comme moyen de fournir un accès à distance afin que les utilisateurs n’aient pas besoin de s’asseoir physiquement devant leurs ordinateurs ou leurs serveurs. Cependant, cet utilitaire a apporté un passé sombre au protocole et a fait du RDP un gouffre de sécurité. L’une des attaques les plus tristement célèbres s’appelait BlueKeep, que nous avons couverte lorsqu’elle s’est produite en 2019. Il s’agissait d’une vulnérabilité d’exécution à distance complète qui a déclenché des avertissements de la US National Security Agency pour une correction rapide.
En passant, la réponse à BlueKeep comprenait l’aide de Marcus Hutchins, qui a trouvé un moyen d’arrêter l’épidémie de WannaCry en 2017. Nous avons également écrit comment le RDP est l’un des moyens les plus courants de lancer des attaques de ransomware et peut également être utilisé pour lancer des attaques par déni de service.
Dans la dernière incarnation des exploits RDP, les pirates peuvent accéder aux fichiers de données en utilisant une attaque de type « man-in-the-middle » via une fonctionnalité Windows connue sous le nom de Named Pipes. Il s’agit d’une fonctionnalité de Windows qui a été créée il y a plus de 30 ans pour fournir une communication d’application à application qui peut connecter des processus sur le même ordinateur ou sur un réseau.
Le RDP doit être mis en œuvre avec soin, car le protocole lui-même ne possède aucune fonctionnalité de sécurité inhérente (telles que les versions sécurisées du système de noms de domaine ou des protocoles de messagerie). En effet, vous pourriez dire qu’il comporte des insécurités inhérentes, notamment :
Un port TCP/IP bien connu (3389) : facile à suivre par les pirates.
Identifiants de connexion faibles : si les utilisateurs disposent d’un identifiant Windows faible, les pirates peuvent utiliser le credential stuffing ou des attaques par force brute pour compromettre ce mot de passe.
De nombreuses façons d’exploiter les connexions à distance : le dernier problème (Named Pipes) n’est qu’une des nombreuses façons dont les attaques peuvent s’introduire dans vos systèmes. Ils peuvent afficher les menus « Afficher les options » ou Aide lors de la première connexion à la passerelle distante, ce qui peut permettre de parcourir les répertoires de fichiers ou de contourner les listes de blocage d’exécution de fichiers.
Tout cela rend les implémentations difficiles de RDP. Voici quelques étapes que vous pouvez suivre pour sécuriser son utilisation :
- Désactivez le RDP lorsqu’il n’est pas nécessaire. Vous devriez essayer cela lorsque vous corrigez tout, comme suggéré par Microsoft.
- Utilisez de meilleurs mots de passe, en particulier sur votre équipement Windows local. Utilisez des gestionnaires de mots de passe et des outils d’authentification unique. Vous avez déjà entendu ce conseil, sans doute, mais il reste essentiel !
- Verrouillez le port 3389, via vos pare-feux réseau ou d’autres outils de sécurité. Cela peut être délicat, car de nombreux utilisateurs peuvent avoir besoin d’un accès à distance et tout ce qu’il faudrait pour réussir un exploit RDP serait de compromettre une seule machine.
- Investissez dans un meilleur antivirus. Remote Access Shield est l’une des fonctionnalités disponibles dans Avast Essential Business Security qui peut bloquer les exploits RDP.
- Créez des stratégies de groupe Active Directory plus efficaces qui bloquent et autorisent l’exécution à distance d’applications spécifiques et d’options d’aide à distance. Assurez-vous également de vérifier qui a des privilèges administratifs pour vous assurer qu’un nombre minimum de personnes y aient accès.
Leave a Reply