McAfee Labs Il s'agit de la division de recherche de la société de sécurité McAfee. Le but est de surveiller les nouveaux tendances, dangers et menaces que nous pouvons trouver dans les problèmes de cybersécurité.
L'une des choses les plus importantes dans votre rapport de 2018 est ce qui est lié à Magasin RDP et la facilité avec laquelle les cybercriminels sans connaissances techniques ont accès à des ordinateurs infectés accessibles via RDP ou bureau à distance. Pour reprendre les mots de John Fokker, responsable de la cyber-recherche chez McAfee Advanced Threat Research, "le dark web contient une boutique RDP, une plate-forme en ligne qui vend accès aux machines piratées via RDP (Remote Desktop Protocol) ".
Mais commençons par le début. RDP est l'abréviation de Protocole de bureau à distance, Protocole de bureau à distance en espagnol. RDP est une technologie développé par microsoft et qui facilite le contrôle à distance de l'ordinateur avec Windows Vous n'êtes pas obligé d'être devant lui. Cette fonction, très simple et facile à mettre en œuvre Dans un parc informatique d'entreprise ou de bureau, il y a bien sûr des avantages et des inconvénients.
Et du côté négatif est l'utilisation que quelqu'un qui en a peut faire accédé à notre ordinateur via un logiciel malveillant Pour contrôler notre PC, avons-nous des tests ou non?
Tout commence par un mot de passe incorrect
La technologie de bureau à distance que vous utilisez Windows Par défaut, ce n'est pas mauvais en soi. Le problème est, d’une part, que activé même si nous n'en avons pas besoin Et d'autre part, le mot de passe par défaut est assez faible. Par conséquent, les cybercriminels recherchent sur Internet des systèmes RDP connectés et utilisés attaque par force brute pour connaître le mot de passe choisi.
Si cela est très simple ou s'il existe une liste de mots de passe exposés à des failles de sécurité, il se rétablira facilement et l'ordinateur en question le fera. exposé au contrôle À distance via un bureau à distance. Contrairement à d'autres voies d'entrée, comme infecter notre PC avec des logiciels malveillants ouvrir le lien à partir d'un site Web ou d'un e-mail, d'ailleurs profiter a priori d'entrées sécurisées mais cela cesse si la clé d'entrée est très simple.
Les cybercriminels recherchent en ligne des systèmes avec RDP connecté et utilisent des attaques par force brute pour trouver le mot de passe choisi
Selon les statistiques des trois premiers mois de 2019, McAfee a averti que l'entrée ransomware vulnérabilités logicielles (qui restent 6,1%) et de phishing ou de faux e-mails (30,4%) a cessé et les efforts se concentrent de plus en plus sur l'accès via le PDR, qui passe à 63,5%
McAfee Labs l'année dernière, il a analysé divers magasins RDP, les pages Web disponibles sur le Web sombre et les offres accès à distance à un ordinateur il peut atteindre une douzaine ou plus de 40 000 ordinateurs qui ont été exposés par ne contrôle pas votre accès RDP. L'examen des informations détaillées fournies par les magasins d'informatique concernés nous donne des indices sur les types d'équipements les plus vulnérables: ceux qui ancienne version de Windows et navigateur Web. L'équipe se démarque avec Windows XP, 7 ou une version antérieure du serveur telle que 2008 ou 2012.
Il est également curieux d'utiliser un appareil avec Windows Normes intégréesversion Windows pour des équipements très spécifiques disponibles dans les distributeurs automatiques de billets, les hôtels, les points de vente, les parcmètres… Ce sont des appareils sans surveillance connectés en permanence qui peuvent être attaqués sans que personne ne s'en aperçoive pendant ou jusqu'à la prochaine tâche de maintenance.
Utilisation de l'accès RDP
Nous savons maintenant que le bureau à distance est devenu une passerelle pour contrôler les ordinateurs à distance sans notre autorisationIl est important de savoir quel accès est utilisé après qu'un réseau informatique est disponible pour les cybercriminels.
Le rapport McAfee Labs 2018 met en évidence cinq utilisations principales des ordinateurs exposés à l'accès RDP. Le premier est masque d'origine de l'attaquant en effectuant diverses tâches d'infection ou d'attaque sur d'autres ordinateurs. À partir de la télécommande, le cybercriminel peut compiler du code malveillant sur la machine affectée pour faire apparaître qu'une attaque a été effectuée à partir de là ou que le malware qui a été enquêté a été exécuté.
Une autre utilisation fréquente est spam combiner plusieurs ordinateurs pour créer un réseau de botnet. Vous pouvez également utiliser un ordinateur affecté crypto, pour voler des données personnelles, des informations bancaires, ou tout simplement pour infecter ces ordinateurs avec un rançongiciel et demander une rançon en échange de la récupération des fichiers verrouillés.
La solution, le bon sens.
Tout d'abord, il convient de rappeler que l'accès aux ordinateurs profitant de la faiblesse de leurs mots de passe dans les connexions RDP n'est pas quelque chose qui affecte principalement utilisateur à domicile. Les victimes sont des ordinateurs peu protégés ou faisant partie d'un parc informatique connecté à des lieux publics, des bureaux ou des organisations qui ne disposent pas de mises à jour régulières ou qui administration très sporadique.
Des mots de passe plus complexes, en les changeant de temps en temps, en utilisant des VPN et des pare-feu sont quelques-unes des solutions
Et pourtant, c'est un problème avec une solution plus simple qu'il n'y paraît. Outre la mise à jour du sistema operativo, sinon avec la nouvelle version, oui, avec tout correctif de sécurité publié par Microsoft, vous devez également garder votre navigateur à jour.
Concernant Connexion RDPS'il n'y a pas d'autre option que de l'activer, il y a plusieurs choses que vous pouvez faire pour le rendre plus sécurisé. Mots de passe plus complexes, changez de temps en temps, utilisez-les Réseau VPN qui empêche l'accès aux connexions RDP à Internet directement, utilisez un pare-feu qui limite le bureau distant à certaines adresses IP …
Autres solutions Utilisez le serveur de passerelle RDP, disponible dans la dernière version de Windows Serveur. Cette passerelle améliore la sécurité d'accès, car elle vous permet d'utiliser des certificats TLS, l'authentification point à point, les restrictions utilisateurs …
