导语:今年4月,黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接,吐出80万美元存款。
去年6月,卡巴斯基实验室研究人员揭露,黑客利用远程桌面协议(RDP)窃取85,000台来自医院、学校、航空公司和政府机构的服务器,还公开在地下黑市贩卖;今年4月,黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接,吐出80万美元存款;今年6月,勒索软件SamSam也是使用RDP成功感染了其他电脑设备,种种案例表明RDP终端已经成为黑客入侵电脑的管道。
近日,根据Rapid7 公司安全专家进行的一项研究结果显示,截至今年7月,全球仍有410万个远程桌面协议(RDP)终端公开暴露在网络上。研究人员发现,一共有1100万个开放的3389 / TCP终端,其中410万个是远程桌面协议(RDP)开放终端。
关于远程桌面协议(RDP)
远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或“本地计算机”)连上提供微软终端机服务的计算机(称为服务端或“远程计算机”)。大部分的Windows版本都有用户端所需软件,有些其他操作系统也有这些用户端软件,例如Linux、FreeBSD、MacOSX,服务端计算机方面,则听取送到TCPport3389的数据。
远程桌面协议安全隐患
今年5月,Rapid7公司曾发布过另一项研究报告,揭示了数百万设备正是因为SMB、Telnet、RDP以及其他类型的配置错误遭受网络攻击。该报告指出,2016年初有约1080万个RDP终端,而到了今年第一季度,这一数字降到了720万个。
研究人员指出,即使用户在 Windows 上默认禁用 RDP 协议,它通常也会继续在内部网络中发挥运行与维护的作用。但是该协议存在严重的安全隐患,微软在过去15年间已经处理了几十处RDP漏洞,具体如下所示:
MS99-028: Terminal Server Connection Request Flooding Vulnerability
MS00-087: Terminal Server Login Buffer Overflow Vulnerability
MS01-052: Invalid RDP Data Can Cause Terminal Service Failure
MS02-051: Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure
MS05-041: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution
MS11-017: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution
MS11-061: Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege
MS11-065: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution
MS12-036: Vulnerability in Remote Desktop Could Allow Remote Code Execution
MS12-053: Vulnerability in Remote Desktop Could Allow Remote Code Execution
MS13-029: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution
MS14-030: Vulnerability in Remote Desktop Could Allow Tampering
MS14-074: Vulnerability in Remote Desktop Protocol Could Allow Security Feature Bypass
MS15-030: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
MS15-067: Vulnerability in RDP Could Allow Remote Code Execution
MS15-082: Vulnerabilities in RDP Could Allow Remote Code Execution
MS16-017: Security Update for Remote Desktop Display Driver to Address Elevation of Privilege
MS16-067: Security Update for Volume Manager Driver
报告指出,
从安全角度来看,RDP的历史是多样的,自2002年以来,微软已经针对RDP发布了至少20个安全更新程序,至少修复了24个与RDP相关的安全漏洞(CVE)。
最近一次发现的漏洞是今年4月份影子经纪人(ShadowBrokers)泄漏的一个国家安全局(NSA)安全漏洞—— EsteemAudit(漏洞编号CVE-2017-0176),其攻击目标就是包括Microsoft Windows Server 2003 / Windows XP在内的Windows全版本操作系统的远程桌面协议服务(端口3389)。据估计,约有超过24,000个系统受到EsteemAudit漏洞威胁,所以,微软公司不得不为不再受支持的Microsoft Windows Server 2003 / Windows XP系统发布了安全更新程序,以解决影子经纪人泄漏的漏洞问题。
显然,远程桌面协议攻击已经成为恶意软件分发的特权攻击向量,尤其是勒索软件。目前,已经有很多恶意软件开始使用远程桌面协议(CrySiS、 Dharma以及SamSam)作为攻击源来感染系统,EsteemAudit漏洞使得这些威胁变得更具攻击性和危险性。
暴露RDP端点分布
根据Rapid7 的研究报告显示,大多数暴露的远程桌面协议端点(28.8%,或超过 110万)位于美国,中国紧随其后(17.7%,约 73 万),接着是德国(4.3%,约 177,000)、巴西(3.3%,约 137,000)以及韩国(3.0%,约 123,000)。
此外,安全专家还注意到,与暴露的远程桌面协议端点相关联的 IP 地址组织,大多数属于亚马逊(318,234个,约占7.73%),其次是阿里巴巴(280,082个,约占6.8%)、微软(204,138个,约占4.96%)、中国电信(177,749个,约占4.32%)以及Comcast(85,414个,约占2.07%)等。
一般情况下,系统不会主动开启RDP功能,而且在2012年微软提供了网络等级认证功能(Network Level Authentication,NLA),用户建立远程桌面连接时,系统会要求认证,只有用户认证成功才能顺利启动该程序,增加了黑客利用RDP终端入侵电脑的难度。
然而,研究人员分析发现,绝大多数(83%)的用户使用RDP时会采用SSL/TLS加密传输方式,甚至也会启动“认证安全性服务提供者”(CredSSP)功能来认证,但仍有15%的用户坚持仅使用易遭到中间人攻击的“标准远程桌面协议安全”(Standard RDP Security)功能。