Malgré sa simplicité de mise en oeuvre, ce type d’accès à distance s’accompagne d’une exposition importante et de vulnérabilités aux cyber-attaques, particulièrement celles liées aux ransomwares.
Pour s’en prémunir, il est important de comprendre le déroulement d’une attaque utilisant ce vecteur. Quelques exemples dans l’actualité récente l’illustrent assez bien et méritent d’être explorés. Une fois cette compréhension acquise, il est possible de mettre en place des mécanismes de protection et d’atténuation pour limiter l’exposition.
Les ports Remote Desktop Protocol, principalement le port 3389, sont fréquemment exposés sur Internet.
Un des moyens les plus simples de sécuriser les accès de type RDP est de ne pas les exposer publiquement, mais de forcer les utilisateurs à passer au travers d’une connexion VPN et des stratégies d’authentification multi facteurs.
Cependant, la mise en place de solutions de travail à distance au début de la pandémie, souvent dans la précipitation, n’a laissé que peu de temps pour l’ajout de toutes les couches de sécurité nécessaires. Une étude récente de McAfee[1] a révélé que le nombre de ports RDP exposés sur Internet a grimpé en flèche, passant de trois millions en janvier 2020 à quatre millions et demi en mars ! Une autre étude menée par Kaspersky[2] a dénombré 145 000 attaques de force brute sur des ports RDP le 8 mars 2020 et 872 000 de ces mêmes attaques le 11 mars uniquement en France.
Atlas VPN indique que les attaques sur RDP ont explosé avec plus de 148 millions d’entre elles menées pendant le confinement dans le monde entier.
Concrètement, voici la chaîne d’événements qui composent une attaque RDP :
Reconnaissance : Tout d’abord, les attaquants scannent et identifient des ports RDP exposés sur Internet. Leurs cibles sont également les ports ouverts dont les vulnérabilités n’ont pas été corrigées, ce qui leur confère un avantage dans la phase d’exploitation.
Intrusion : le cyber criminel utilise le « password spraying », une attaque par force brute (dont le nombre a été multiplié par 6 en France au début de la pandémie) ou une tentative de phishing pour pénétrer dans le réseau. Il est à noter que les attaquants peuvent également détourner des sessions RDP légitimes.
Exploitation : Une fois les systèmes pénétrés, les attaquants peuvent exploiter de très graves vulnérabilités non corrigées qui permettent d’installer des vers et d’exécuter du code à distance (deux facultés très recherchées pour construire une attaque ransomware).C’est à ce stade que sont déployés les ransomwares tels que MAZE lorsque c’est l’objectif poursuivi par les attaquants.
Augmentation des privilèges : lors de récents incidents liés au ransomware MAZE, les enquêteurs de FireEye ont découvert que les cybercriminels utilisent des attaques RDP comme moyen d’entrer, de prendre pied pour infecter plus d’hôtes et même d’exfiltrer des données avant d’activer le ransomware.
Les attaques de ransomware sont, en effet, de plus en plus liées à des vols de données. Les cybercriminels menacent les entreprises de divulguer publiquement ces données en plus des pratiques habituelles des chantage au chiffrement (cf. BlackBaud Mai 2020).
Mouvement latéral : En s’appuyant sur l’escalade des privilèges, les criminels augmentent leur emprise en compromettant d’autres systèmes grâce aux mouvements latéraux rendus possibles par le RDP. Ils peuvent se connecter à des ressources qui ne sont pas exposées publiquement. Ils installent ensuite des outils tels que BEACON Cobalt Strike.
Obfuscation / Dissimulation : Après l’exfiltration de données, les attaquants cherchent à brouiller les pistes afin d’atténuer les risques d’être détectés ou identifiés. Pour cela, le plus simple est souvent de tout crypter. Là encore, l’utilisation de MAZE intervient souvent. Si l’organisation criminelle souhaite totalement dissimuler son intrusion afin de pouvoir la répéter (dans un objectif de recherche d’informations spécifiques comme de l’espionnage industriel), elle cherchera plutôt à purger les différents logs natifs des systèmes corrompus.
Déni de service : conséquence de l’opération d’obfuscation, l’exécution d’un ransomware sur un serveur RDP non patché ou sur une machine présentant une vulnérabilité aux vers peut entraîner des perturbations conséquentes et une situation de déni de service pour les utilisateurs et les systèmes légitimes.
Si elles peuvent paraître implacables, les attaques RDP ne sont pourtant pas une fatalité. Quelques bonnes pratiques peuvent largement contribuer à l’atténuation du risque. Il existe aussi des techniques de récupération qui limitent leur impact sur le fonctionnement de l’entreprise et qui ont fait leurs preuves.
Le dernier point est essentiel pour avoir une couverture complète. Même en déployant toutes les mesures de protection existantes, une attaque peut aboutir. Il vous faudra alors avoir une stratégie de récupération et de reprise efficace afin de limiter l’impact sur les opérations de l’organisation que vous défendez.
L’utilisation d’un système d’accès disant autre que RDP n’est pas une solution. Kaspersky a en effet identifié 37 vulnérabilités non corrigées dans les implémentations VNC fin 2019[3].
Le concept de Negative Trust ne vise pas à se méfier de ses propres collaborateurs,…
Le respect des réglementations en matière de souveraineté des données exige une gouvernance, une conformité…
Les lignes de code source ouvertes permettent aux utilisateurs de comprendre et de contrôler comment…
Cette directive impose dix mesures de sécurité destinées à renforcer la cyber résilience des infrastructures…
Le concept de "monitoring" s'efface progressivement au profit de celui d'observabilité dans le domaine de…
Les 30 juin et 7 juillet prochains, votons pour des programmes clairs et ambitieux qui…