Những rủi ro bảo mật của RDP

RDP là gì?

RDP, hay Remote Desktop Protocol, là một trong những giao thức chính được sử dụng cho các phiên remote desktop. Đó là khi nhân viên truy cập máy tính để bàn ở văn phòng của họ từ một thiết bị khác. RDP được bao gồm trong hầu hết các hệ điều hành Windows và có thể được sử dụng với cả máy Mac. Nhiều công ty dựa vào RDP để cho phép nhân viên của họ làm việc tại nhà.

RDP (Remote Desktop Protocol) là một trong những giao thức chính được sử dụng cho các phiên remote desktop
RDP (Remote Desktop Protocol) là một trong những giao thức chính được sử dụng cho các phiên remote desktop

Các lỗ hổng bảo mật RDP chính là gì?

Lỗ hổng là lỗi trong cách một phần mềm được xây dựng, cho phép những kẻ tấn công truy cập trái phép. Hãy coi đây như một chốt cửa được lắp đặt không đúng cách trên cửa trước của một ngôi nhà, cho phép bọn tội phạm đột nhập.

Đây là những lỗ hổng quan trọng nhất trong RDP:

1. Thông tin đăng nhập của người dùng yếu

Hầu hết các máy tính để bàn đều được bảo vệ bằng mật khẩu và người dùng thường có thể đặt mật khẩu này thành bất cứ thứ gì họ muốn. Vấn đề là người dùng cũng thường sử dụng cùng một mật khẩu đó cho đăng nhập từ xa RDP. Các công ty thường không quản lý những mật khẩu này để đảm bảo sức mạnh của chúng, và họ thường để ngỏ những kết nối từ xa này trước những cuộc tấn công Brute Force hoặc Credential Stuffing.

2. Truy cập cổng không hạn chế

Các kết nối RDP hầu như luôn diễn ra ở cổng 3389*. Những kẻ tấn công có thể cho rằng đây là cổng đang được sử dụng và nhắm mục tiêu nó để thực hiện các cuộc tấn công.

* Trong mạng, cổng là một vị trí hợp lý, dựa trên phần mềm, được chỉ định cho một số loại kết nối nhất định. Việc gán các tiến trình khác nhau cho những cổng khác nhau giúp máy tính theo dõi các tiến trình đó. Ví dụ, lưu lượng HTTP luôn đi đến cổng 80, trong khi lưu lượng HTTPS đi đến cổng 443.

3. Giao tiếp không được mã hóa

Một rủi ro bảo mật phổ biến khác khi sử dụng RDP là giao tiếp không được mã hóa, nghĩa là gửi và nhận dữ liệu mà không có bất kỳ biện pháp bảo vệ hoặc mã hóa nào. Điều này cho phép kẻ tấn công chặn, sửa đổi hoặc đánh cắp dữ liệu của bạn, chẳng hạn như mật khẩu, file, tổ hợp phím hoặc ảnh chụp màn hình. Giao tiếp không được mã hóa cũng có thể khiến hệ thống của bạn gặp phải các cuộc tấn công Man-in-the-middle, trong đó kẻ tấn công chuyển hướng lưu lượng truy cập của bạn đến máy chủ độc hại hoặc tiêm mã độc vào phiên của bạn. Để tránh rủi ro này, bạn phải luôn sử dụng các giao thức bảo mật, chẳng hạn như SSL/TLS hoặc SSH, đồng thời xác minh danh tính và tính toàn vẹn của máy chủ từ xa của mình.

4. Phần mềm độc hại

Rủi ro bảo mật phổ biến tiếp theo khi sử dụng RDP là phần mềm độc hại, nghĩa là cài đặt hoặc chạy phần mềm có chứa phần mềm độc hại, phần mềm gián điệp, phần mềm tống tiền hoặc mã độc hại khác. Điều này cho phép kẻ tấn công lây nhiễm vào hệ thống của bạn bằng phần mềm độc hại có thể giám sát, làm hỏng hoặc mã hóa dữ liệu của bạn hoặc sử dụng hệ thống của bạn làm mạng botnet/proxy cho các cuộc tấn công khác. Phần mềm độc hại cũng có thể xâm phạm cài đặt bảo mật của hệ thống, vô hiệu hóa phần mềm diệt virus, tường lửa hoặc tạo các backdoor để truy cập trong tương lai. Để tránh rủi ro này, bạn phải luôn quét hệ thống của mình để tìm phần mềm độc hại, tránh tải xuống hoặc mở các file hoặc liên kết đáng ngờ, đồng thời sử dụng phần mềm máy tính từ xa uy tín và đáng tin cậy.

Một số cách để giải quyết những lỗ hổng RDP này là gì?

  • Để giảm sự phổ biến của thông tin đăng nhập yếu:

Đăng nhập một lần (SSO)

Nhiều công ty đã sử dụng dịch vụ SSO để quản lý thông tin đăng nhập của người dùng cho nhiều ứng dụng khác nhau. SSO cung cấp cho các công ty một cách dễ dàng hơn để thực thi việc sử dụng mật khẩu mạnh, cũng như triển khai các biện pháp an toàn hơn như xác thực hai yếu tố (2FA). Có thể chuyển quyền truy cập từ xa RDP ra sau quá trình SSO để khắc phục lỗ hổng đăng nhập của người dùng được mô tả ở trên.

Quản lý và thực thi mật khẩu

Đối với một số công ty, việc chuyển quyền truy cập từ xa RDP ra sau quá trình SSO có thể không phải là một lựa chọn. Ở mức tối thiểu, những công ty này nên yêu cầu nhân viên reset lại mật khẩu máy tính để bàn của họ thành một thứ gì đó mạnh hơn.

  • Để bảo vệ tránh khỏi các cuộc tấn công dựa trên cổng:

Khóa cổng 3389

Phần mềm tunneling bảo mật có thể giúp ngăn những kẻ tấn công gửi yêu cầu đến cổng 3389. Với một tunneling bảo mật, mọi yêu cầu không đi qua tunnel sẽ bị chặn.

Quy tắc tường lửa

Có thể cấu hình tường lửa công ty theo cách thủ công để không có lưu lượng truy cập vào cổng 3389 nào có thể đi qua, ngoại trừ lưu lượng truy cập từ các dải địa chỉ IP được cho phép (ví dụ, các thiết bị được biết là thuộc về nhân viên).

Tuy nhiên, phương pháp này tốn rất nhiều công sức thủ công và vẫn dễ bị tấn công nếu những kẻ tấn công chiếm đoạt địa chỉ IP được cho phép hoặc thiết bị của nhân viên bị xâm phạm. Ngoài ra, thường rất khó xác định và cho phép liệt kê trước tất cả các thiết bị của nhân viên, dẫn đến những yêu cầu IT liên tục từ các nhân viên bị chặn.

RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức
RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức

RDP có những lỗ hổng nào khác?

RDP có các lỗ hổng kỹ thuật khác đã được vá về mặt kỹ thuật, nhưng vẫn còn nghiêm trọng nếu không được kiểm soát.

Một trong những lỗ hổng nghiêm trọng nhất trong RDP được gọi là "BlueKeep". BlueKeep (được phân loại chính thức là CVE-2019-0708) là một lỗ hổng cho phép kẻ tấn công thực thi bất kỳ mã nào chúng muốn trên máy tính, nếu chúng gửi một yêu cầu được tạo đặc biệt đến đúng cổng (thường là 3389). BlueKeep có khả năng lây lan worm, có nghĩa là nó có thể lây lan đến tất cả các máy tính trong mạng mà không cần bất kỳ hành động nào từ người dùng.

Cách bảo vệ tốt nhất chống lại lỗ hổng này là vô hiệu hóa RDP trừ khi nó cần thiết. Chặn cổng 3389 bằng cách sử dụng tường lửa cũng có thể hữu ích. Cuối cùng, Microsoft đã phát hành bản vá sửa lỗ hổng này vào năm 2019 và điều cần thiết là quản trị viên hệ thống phải cài đặt bản vá này.

Giống như bất kỳ chương trình hoặc giao thức nào khác, RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức. Các nhà cung cấp thường vá những lỗ hổng trong mỗi phiên bản phần mềm mới mà họ phát hành.

Thứ Hai, 21/06/2021 10:04
53 👨 1.336
0 Bình luận
Sắp xếp theo
    ❖ Giải pháp bảo mật