Rapid7警告声明:远程桌面协议(RDP)暴露数百万 Windows 终端

小二郎 新闻 2017年8月17日发布

导语:今年4月,黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接,吐出80万美元存款。

去年6月,卡巴斯基实验室研究人员揭露,黑客利用远程桌面协议(RDP)窃取85,000台来自医院、学校、航空公司和政府机构的服务器,还公开在地下黑市贩卖;今年4月,黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接,吐出80万美元存款;今年6月,勒索软件SamSam也是使用RDP成功感染了其他电脑设备,种种案例表明RDP终端已经成为黑客入侵电脑的管道。

近日,根据Rapid7 公司安全专家进行的一项研究结果显示,截至今年7月,全球仍有410万个远程桌面协议(RDP)终端公开暴露在网络上。研究人员发现,一共有1100万个开放的3389 / TCP终端,其中410万个是远程桌面协议(RDP)开放终端。

关于远程桌面协议(RDP)

远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或“本地计算机”)连上提供微软终端机服务的计算机(称为服务端或“远程计算机”)。大部分的Windows版本都有用户端所需软件,有些其他操作系统也有这些用户端软件,例如Linux、FreeBSD、MacOSX,服务端计算机方面,则听取送到TCPport3389的数据。

远程桌面协议安全隐患

今年5月,Rapid7公司曾发布过另一项研究报告,揭示了数百万设备正是因为SMB、Telnet、RDP以及其他类型的配置错误遭受网络攻击。该报告指出,2016年初有约1080万个RDP终端,而到了今年第一季度,这一数字降到了720万个。

研究人员指出,即使用户在 Windows 上默认禁用 RDP 协议,它通常也会继续在内部网络中发挥运行与维护的作用。但是该协议存在严重的安全隐患,微软在过去15年间已经处理了几十处RDP漏洞,具体如下所示:

MS99-028: Terminal Server Connection Request Flooding Vulnerability

MS00-087: Terminal Server Login Buffer Overflow Vulnerability

MS01-052: Invalid RDP Data Can Cause Terminal Service Failure

MS02-051: Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure

MS05-041: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution

MS11-017: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS11-061: Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege

MS11-065: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution

MS12-036: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS12-053: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS13-029: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS14-030: Vulnerability in Remote Desktop Could Allow Tampering

MS14-074: Vulnerability in Remote Desktop Protocol Could Allow Security Feature Bypass

MS15-030: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS15-067: Vulnerability in RDP Could Allow Remote Code Execution

MS15-082: Vulnerabilities in RDP Could Allow Remote Code Execution

MS16-017: Security Update for Remote Desktop Display Driver to Address Elevation of Privilege

MS16-067: Security Update for Volume Manager Driver

报告指出,

从安全角度来看,RDP的历史是多样的,自2002年以来,微软已经针对RDP发布了至少20个安全更新程序,至少修复了24个与RDP相关的安全漏洞(CVE)。

最近一次发现的漏洞是今年4月份影子经纪人(ShadowBrokers)泄漏的一个国家安全局(NSA)安全漏洞—— EsteemAudit(漏洞编号CVE-2017-0176),其攻击目标就是包括Microsoft Windows Server 2003 / Windows XP在内的Windows全版本操作系统的远程桌面协议服务(端口3389)。据估计,约有超过24,000个系统受到EsteemAudit漏洞威胁,所以,微软公司不得不为不再受支持的Microsoft Windows Server 2003 / Windows XP系统发布了安全更新程序,以解决影子经纪人泄漏的漏洞问题。

显然,远程桌面协议攻击已经成为恶意软件分发的特权攻击向量,尤其是勒索软件。目前,已经有很多恶意软件开始使用远程桌面协议(CrySiS、 Dharma以及SamSam)作为攻击源来感染系统,EsteemAudit漏洞使得这些威胁变得更具攻击性和危险性。

暴露RDP端点分布

根据Rapid7 的研究报告显示,大多数暴露的远程桌面协议端点(28.8%,或超过 110万)位于美国,中国紧随其后(17.7%,约 73 万),接着是德国(4.3%,约 177,000)、巴西(3.3%,约 137,000)以及韩国(3.0%,约 123,000)。

1502855228130589.png

此外,安全专家还注意到,与暴露的远程桌面协议端点相关联的 IP 地址组织,大多数属于亚马逊(318,234个,约占7.73%),其次是阿里巴巴(280,082个,约占6.8%)、微软(204,138个,约占4.96%)、中国电信(177,749个,约占4.32%)以及Comcast(85,414个,约占2.07%)等。

1502855254732881.png

一般情况下,系统不会主动开启RDP功能,而且在2012年微软提供了网络等级认证功能(Network Level Authentication,NLA),用户建立远程桌面连接时,系统会要求认证,只有用户认证成功才能顺利启动该程序,增加了黑客利用RDP终端入侵电脑的难度。

然而,研究人员分析发现,绝大多数(83%)的用户使用RDP时会采用SSL/TLS加密传输方式,甚至也会启动“认证安全性服务提供者”(CredSSP)功能来认证,但仍有15%的用户坚持仅使用易遭到中间人攻击的“标准远程桌面协议安全”(Standard RDP Security)功能。

1502855310999888.png

本文翻译自:https://community.rapid7.com/community/infosec/blog/2017/08/09/remote-desktop-protocol-exposure ,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/7271.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论