Securitybedrijf meldt toename van scans gericht tegen Microsoft RDP-services
Er is een sterke toename van scans gericht tegen Microsoft RDP-services, wat mogelijk samenhangt met Amerikaanse onderwijsinstellingen en universiteiten die hun systemen weer online brengen. Dat stelt securitybedrijf GreyNoise op basis van eigen onderzoek. De scans zijn gericht tegen Microsoft RD Web Access en Microsoft RDP Web Client, die gebruikers via een browser toegang tot remote diensten geven.
Het securitybedrijf zag op 24 augustus meer dan 30.000 unieke ip-adressen die op "timing flaws" testen, waarmee geldige gebruikersnamen zijn te achterhalen. Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn. Vervolgens wordt er gekeken of tijdens de inlogprocedure informatie lekt waarmee geldige gebruikersnamen zijn te achterhalen. Een systeem kan bij een ongeldige gebruikersnaam meer of minder tijd nodig hebben dan bij een geldige gebruikersnaam, wat aanvallers kan vertellen dat een gebruikersnaam in het systeem bestaat of niet.
Zodra de gebruikersnamen zijn bevestigd kunnen de aanvallers later proberen om hier door middel van credential stuffing, password spraying of bruteforce-aanvallen toegang tot te krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen. Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan.
Password spraying is een techniek waarbij een aanvaller met veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen gebruikt een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt. Vaak wordt er ook vanaf allerlei verschillende ip-adressen ingelogd.
Volgens GreyNoise is de timing van de waargenomen scans geen toeval. In de Verenigde Staten start het schooljaar, waardoor scholen en universiteiten hun RDP-systemen weer online brengen en duizenden nieuwe accounts registreren. Deze omgevingen gebruiken volgens de onderzoekers vaak voorspelbare formats, wat het enumereren van de namen effectiever maakt. De onderzoekers merken op dat de scans alleen tegen Amerikaanse systemen zijn gericht. Daarnaast stellen ze dat pieken in het aantal scans tegen bepaalde systemen of platforms vaak worden opgevolgd door aanvallen of nieuwe kwetsbaarheden in de betreffende omgevingen.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
On August 21, GreyNoise observed a sharp surge in scanning against Microsoft Remote Desktop (RDP) services. Nearly 2,000 IPs — the vast majority previously observed and tagged as malicious — simultaneously probed both Microsoft RD Web Access and Microsoft RDP Web Client authentication portals. The wave’s aim was clear: test for timing flaws that reveal valid usernames, laying the groundwork for credential-based intrusions.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
"Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn."
Het gaat dus om systemen die niet direct RDP aan het internet hebben hangen, maar via een Gateway-webserver.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
"Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn."
Het gaat dus om systemen die niet direct RDP aan het internet hebben hangen, maar via een Gateway-webserver.
Kan zijn maar RDP is RDP en dat staat al jaren bekend dat het niet veilig is.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
"Als eerste zoeken de aanvallers naar endpoints waarvan RD Web Access of de RDP Web Client vanaf het internet toegankelijk zijn."
Het gaat dus om systemen die niet direct RDP aan het internet hebben hangen, maar via een Gateway-webserver.
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
Wordt nog volop gebruikt. En in elke Windows 10+11 config staat default de "Remote Desktop Access/Hulp op afstand" masterswitch aan. Wel zo gemakkelijk voor beheerders ;-)
RDP is al zeker sinds 2014 in de ban gedaan omdat het niet veilig is om deze publiekelijk open te stellen.
Wordt nog volop gebruikt. En in elke Windows 10+11 config staat default de "Remote Desktop Access/Hulp op afstand" masterswitch aan. Wel zo gemakkelijk voor beheerders ;-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Subsidie
Veel IT-dienstverleners wijzen hun mkb-klanten nu op deze cybersubsidie:
Mijn Cyberweerbare Zaak
Ontdek waarom
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?