Tech

Avez-vous RDP actif sur Windows? Sinon, désactivez cette fonctionnalité

Par Julian, le février 8, 2021 - logiciel, pandémie, windows
Tem o RDP ativo no Windows? Se não usa, desative tal funcionalidade

RDP est l’abréviation de Remote Desktop Protocol, une fonctionnalité qui permet à un ordinateur de se connecter à un autre ordinateur via un réseau pour l’utiliser à distance. À partir de cette connexion, une personne peut ouvrir des dossiers, télécharger et télécharger des fichiers et exécuter des programmes, comme si elle utilisait le clavier et le moniteur connectés à ce serveur.

Mais attention aux attaques via RDP! ESET met en garde contre l’augmentation de ce type d’attaques.


ESET a publié son rapport sur les menaces correspondant au quatrième trimestre 2020, résumant les principales statistiques collectées par les systèmes de détection du spécialiste de la cybersécurité. La transition vers le travail à distance depuis la maison en raison de la pandémie a signalé la croissance des attaques RDP (Remote Desktop Protocol), bien qu’à un rythme plus lent par rapport aux trimestres 2020 précédents.

Roman Kováč, directeur de la recherche d’ESET, a expliqué que…

La sécurité RDP ne doit pas être sous-estimée notamment en raison des attaques de ransomwares, qui sont couramment utilisées dans les exploits RDP »(…) avec ses tactiques de plus en plus agressives, elle représente un grand risque pour les secteurs privé et public

Que font les hackers avec RDP?

Une fois que les attaquants connaissent le type de serveur et ce qu’ils contrôlent, ils peuvent commencer à effectuer des actions malveillantes. Certaines des activités malveillantes les plus courantes que nous avons vues incluent:

  • Supprimer les fichiers journaux qui signalent leur présence sur le système;
  • Désactivez les sauvegardes planifiées et les clichés instantanés;
  • Désactivez le logiciel de sécurité ou configurez vos exclusions (ce qui n’est autorisé que pour les administrateurs);
  • Téléchargez et installez divers programmes sur le serveur;
  • Supprimez ou abonnez-vous aux anciennes copies de sauvegarde, si elles sont accessibles.

Avez-vous RDP actif sur Windows?  Sinon, désactivez cette fonctionnalité

Pour vous protéger des attaques RDP:

  • 1. Désactivez les connexions externes aux machines locales sur le port 3389 (TCP / UDP) sur le pare-feu de périmètre. (1)
  • 2. Testez et implémentez des correctifs pour la vulnérabilité CVE-2019-0708 (BlueKeep) et activez NLA (Network Level Authentication) dès que possible.
  • 3. Pour tous les comptes pouvant se connecter via RDP, des mots de passe complexes doivent être pris en compte (un mot de passe volumineux est requis, avec au moins plus de 15 caractères sans mots liés à l’entreprise, aux noms de produits ou aux utilisateurs).
  • 4. Installez l’authentification à deux facteurs (2FA) et, au minimum, l’exigez sur tous les comptes pouvant se connecter via RDP.
  • 5. Installez un VPN pour gérer toutes les connexions RDP depuis l’extérieur de votre réseau local.
  • 6. Protégez par mot de passe le logiciel de sécurité des terminaux à l’aide d’un mot de passe sécurisé sans rapport avec les comptes administratifs et de service.
  • 7. Activez le blocage des exploits dans le logiciel de sécurité des terminaux.
  • 8. Isolez tout ordinateur non sécurisé auquel on accède depuis Internet à l’aide de RDP.
  • 9. Remplacez les ordinateurs dangereux.
  • 10. Envisagez d’établir un blocage geoIP au niveau de la passerelle de connexion VPN.
    • (1) Par défaut, RDP fonctionne sur le port logique 3389. Si vous avez changé ce port sur une valeur différente, c’est celui qui doit être bloqué.
    • Vous devez vérifier que votre logiciel de sécurité détecte la vulnérabilité BlueKeep. Cette vulnérabilité est détectée sous le nom de RDP / Exploit.CVE-2019-0708 par le module de protection contre les attaques de réseau d’ESET, qui est une extension de la technologie de pare-feu d’ESET présente dans les programmes de protection des terminaux d’ESET pour les entreprises. Si vous utilisez un logiciel de sécurité d’un autre fournisseur, vérifiez avec lui s’il détecte Bluekeep et comment.
    • Veuillez noter que ces étapes ne sont que le début de ce que vous pouvez faire pour vous protéger contre les attaques RDP. Si la détection des attaques est un bon début, elle ne remplace pas l’importance de corriger ou de remplacer les ordinateurs vulnérables. En savoir plus ici.

Une autre tendance observée au quatrième trimestre est une augmentation des menaces de courrier électronique liées à la pandémie, en particulier ceux concernant les programmes de vaccination de fin d’année. Les vaccinations ont offert aux cybercriminels l’occasion d’élargir leurs portefeuilles d’appâts usagés, une tendance qui devrait se poursuivre jusqu’en 2021.

L’histoire présentée dans ce rapport sur les menaces rappelle les événements d’octobre 2020, lorsque ESET faisait partie d’une campagne mondiale de perturbation qui ciblait TrickBot, l’un des botnets les plus importants et les plus durables. Cet effort coordonné a fait tomber 94% des serveurs de TrickBot en une seule semaine.

Le rapport sur les menaces du quatrième trimestre 2020 d’ESET analyse également les conclusions et les réalisations les plus importantes de ses chercheurs, y compris le dévoilement d’un groupe APT jusque-là inconnu ciblant les Balkans et l’Europe de l’Est appelé XDSpy, et un nombre impressionnant d’attaques d’approvisionnement-chaîne, de l’attaque de Lazarus en Corée du Sud, à l’opération SignSight au Vietnam.

Enfin, ESET attire l’attention dans ce rapport sur les nombreuses interventions données par ses experts au quatrième trimestre, présente les entretiens prévus pour la conférence RSA de mai 2021 et offre un aperçu de ses contributions à la base de connaissances MITRE ATT & CK.

Lisez aussi…

Julian

Julian

Je suis correspondant principal chez WebVZ; le site hebdomadaire consacré à l'avenir des médias, la technologie, la culture (série, film, musique) et jeux-vidéo. J'anime parfois (en plus de mes articles), une série de d'interviews percutantes avec les principaux acteurs de l'industrie des médias et de la technologie.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.