image

Microsoft: bruteforce-aanvallen op RDP zelden succesvol

donderdag 19 december 2019, 12:17 door Redactie, 10 reacties

De meeste bruteforce-aanvallen op computers die via het Remote Desktopprotocol (RDP) toegankelijk zijn, zijn niet succesvol, zo stelt Microsoft op basis van eigen onderzoek. Bij de aanvallen proberen aanvallers via veelgebruikte, gestolen of zwakke wachtwoorden op een machine in te loggen.

Voor het onderzoek werd er gedurende meerdere maanden naar 45.000 machines gekeken. Het ging om machines waarvan RDP voor heel internet toegankelijk was. Een paar honderd machines werden dagelijks het doelwit van bruteforce-aanvallen. Een gemiddelde aanval duurt twee tot drie dagen. In vijf procent van de aanvallen duurde de aanval langer dan twee weken.

Van de honderden machines die werden aangevallen bleek uiteindelijk .08 procent te zijn gecompromitteerd, aldus Microsoft. Wordt er gekeken naar de bedrijven waarvan de machines werden aangevallen, dan blijkt dat gemiddeld elke drie of vier dagen er een machine wordt gecompromitteerd. Verder laat het onderzoek zien dat met name Nederlandse ip-adressen het doelwit van aanvallen zijn.

Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om multifactorauthenticatie toe te passen. Aryeh Goretsky van antivirusbedrijf ESET adviseert om RDP niet voor onbevoegden toegankelijk te maken. "Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is", stelt Goretsky, die vervolgens wijst naar RDP waardoor aanvallers ook toegang tot een machine kunnen krijgen.

Reacties (10)
19-12-2019, 13:08 door Anoniem
Nu mijn vraag;
Had Microsoft toestemming om die 45000 computers te monitoren?

De enorme constante stroom aan data die naar Microsoft gaat baart me toch wel zorgen soms.
Ik zit mijn lijn te monitoren; onder het mom van 'veiligheid' word alles doorgestuurd; Welke sites ik open heb; welke browser; welke applicaties er draaien.
Alles uiteraard onder het mom van terrorisme of kinderporno.
19-12-2019, 13:27 door Anoniem
"Er is een oud gezegde in de informatiebeveiliging dat als een aanvaller fysieke toegang tot je computer heeft, het niet meer jouw computer is"
En vervolgens ging de peecee-wereld heel erg hard z'n best doen om die fysieke toegang op afstand te emuleren. Met IPKVMs, RDP, LOM-kaarten, en al die andere dingen die je net laten doen of je voor die computer zit.

Een ander gezegde uit die tijd is "real servers are headless". En dat voorelkaar krijgen is niet makkelijk in de peecee-centrische wereld van vandaag. Maar zou dus best een aardig idee zijn, ook vanuit het opzicht van de informatiebeveiliging.
19-12-2019, 15:11 door Anoniem
Dit stelde Novell vroeger ook toen ze nog sterk in de business zaten van server software.
Binnen 2 jaar moesten ze er op terug komen.
Quasi voortschrijdend inzicht was het toen.
Echter binnen 3 jaar na hun stellingname rectificeerden ze het officieus.
Dit was na reacties van derden maar wel met terugwerkende kracht over Novell's eigen stelling!
Dat was toen, maar ben wel benieuwd hoe lang het duurt eer Microsoft eventueel een ander geluid moet afgeven.
19-12-2019, 15:12 door Anoniem
Dit bericht lijkt me een timestamp / speciale bookmark waard!
19-12-2019, 16:54 door Anoniem
Door Anoniem: Nu mijn vraag;
Had Microsoft toestemming om die 45000 computers te monitoren?

De enorme constante stroom aan data die naar Microsoft gaat baart me toch wel zorgen soms.
Ik zit mijn lijn te monitoren; onder het mom van 'veiligheid' word alles doorgestuurd; Welke sites ik open heb; welke browser; welke applicaties er draaien.
Alles uiteraard onder het mom van terrorisme of kinderporno.
[ x ] Ik wil meewerken om het systeem te verbeteren.
19-12-2019, 17:14 door karma4
Door Anoniem: Nu mijn vraag;
Had Microsoft toestemming om die 45000 computers te monitoren?...
Als ze een verwerker zijn in het kader van een Cloud service zulke ze het verplicht zijn om in te vullen.
Je kunt beter vragen waarom anderen service providers zoals aws her nalaten dan wel er niet open over zijn.
19-12-2019, 17:48 door Anoniem
Ik heb een hele moeilijke gebruikersnaam en een redelijk eenvoudig wachtwoord. Toegang krijg je alleen op de combinatie van beide en gebruikersnaam hatseflatsedikkelul met wachtwoord 123456 is lastiger te "bruteforcen" dan administrator/123456
Er zijn wel rainbow tables voor wachtwoorden maar niet voor gebruikersnamen.
19-12-2019, 21:04 door Anoniem
RDP Accounts worden echter heel effectief gehackt met phishing, omdat veel bedrijven te lamlendig zijn om 2fa goed in te regelen. Stel je voor een eindgebruiker moet een sms code overnemen en intypen of op zijn mobiel bevestigen....
20-12-2019, 10:59 door Anoniem
Door Anoniem: RDP Accounts worden echter heel effectief gehackt met phishing, omdat veel bedrijven te lamlendig zijn om 2fa goed in te regelen. Stel je voor een eindgebruiker moet een sms code overnemen en intypen of op zijn mobiel bevestigen....
Zijn prive mobiel? Of mobiel van de zaak? Hier heb je juist al een lastig probleem voor bedrijven.
20-12-2019, 13:12 door ph-cofi
Ervan uitgaande dat de password policies van die RDP servers net zo crappy/voorspelbaar zijn als in de rest van de wereld, zou Microsoft een actieve beveiliging toevoegen, waardoor het tot 99,92% van de gevallen geen toegang geeft? Ik vind dit interessant omdat Microsoft een wachtwoordloze toekomst heeft benoemd, waarbij software dus iets anders moet doen om toegang te bewaken, ook tot Windows 10 PC's bijvoorbeeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.