如何对抗利用微软远程桌面协议的网络攻击

由于检疫，现在被迫在家工作的人仍然必须尽可能有效地工作。 在许多情况下，IT人员和其他员工需要远程连接到办公室的工作站和服务器，为此，他们通常依赖内置在Windows中的Microsoft远程桌面协议(RDP)。

然而，RDP带来了一些安全风险，特别是如果没有正确设置必要的访问、帐户和身份验证。 在周四发表的一篇博客文章中，McAfee解释了网络罪犯是如何利用RDP访问的，以及组织可以做些什么来保护自己。

McAfee在其博客文章《网络罪犯积极利用RDP攻击远程组织》中解释说，RDP经常在Windows服务器上运行，包括Web服务器和文件服务器。 在某些情况下，它也用于工业控制系统。

许多具有RDP的系统都暴露在互联网上；暴露系统的数量从2020年1月的300万左右增加到3月的450万以上。 随着这一增长，对RDP端口的攻击量也激增。

SEE：如何在家工作：IT专业人员远程办公和远程工作指南(Tech Republic Premium)

此外，McAfee发现在地下市场上出售RDP证书的数量激增，其中许多是以相对较低的价格出售的。 在一个例子中，一个主要国际机场的RDP证书只在黑暗的网络上交易了10$。

黑客通常通过蛮力密码攻击来接管具有RDP访问权限的帐户。 这种攻击对弱口令特别成功，这些弱口令仍然非常常用。 McAfee分析的RDP账户最常用的密码是“test”、“1”、“12345”、“password”、“Passw1”、“1234”、“P@ssw0rd”、“123”和“123456”。 一些RDP系统甚至没有密码。

在RDP中也经常发现漏洞，要求微软发布安全补丁。 最近最臭名昭著的例子之一是2019年出现的蓝色保持脆弱性。 今年1月，微软还不得不修复与远程桌面网关相关的缺陷，该网关用于保护远程连接。 但是组织必须应用微软的补丁，否则他们仍然容易受到RDP漏洞的影响。

通过RDP获得远程访问组织的罪犯可以将其用于各种邪恶目的。 他们可以使用合法的系统发送垃圾邮件。 他们可以使用受损的机器分发恶意软件或植入密码器，该密码器利用空闲CPU电源来挖掘密码货币。 他们还可以使用远程系统进行额外的欺诈，如身份盗。

随着向远程工作的过渡如此迅速和突然，黑客知道许多组织可能没有为RDP建立适当的安全检查和限制。