Säkerhet för Remote Desktop Applications

Distansarbete betyder att Remote Desktop Applications (RDA) används allt mer – och att deras säkerhet är centralt för företagets säkerhet. Vilka är de vanligaste RDA-sårbarheterna? Och vad du kan göra för att säkra din RDA-miljö?

Remote Desktop Applications (RDA), såsom Virtual Private Network (VPN), Remote Desktop Protocol (RP) och virtuellt skrivbord, har ökat i betydelse under och efter coronapandemin. När allt fler organisationer öppnar upp för distans- och hybridarbete används verktygen alltmer. Det har såklart många positiva effekter, men ökar också risken för cyberattacker, i synnerhet när det kommer till enhets- och nätverksäkerhet.

Säkerhet hos Remote Desktop Applications bedöms ofta genom penetrationstester (pentester), med automatiserade sårarhetskanningar och manuella bedömningar. Några metoder för att undvika dem i framtiden är:

  • Tvåfaktorsautentisering och sessionshanteringskontroller
  • Upptäckt av osäkra konfigurationer
  • Förbättrad åtkomstkontroll

Det betyder säkrare distansarbete och minskar risken för cyberattack. Men låt oss titta på de vanligaste sårbarheterna orsakade av säkerhetsbrister och felkonfigurationer.

De vanligaste Remote Desktop Application-sårbarheterna

RDA hanteras oftast av en användare med administratörsbehörighet, det är åtminstone så Windows OS-standard ser ut. Det är onödigt att underlätta obehöriga access genom att exponera RDA för Internet. Just ”administratören” är ofta angriparens första attackpunkt. Om han eller hon tar reda på lösenordet blir konsekvenserna förödande.

Man-in-the Middle (MiTM)-attacker

Även data mellan klient och server på RDA-applikationen är krypterad saknas identitetskontroll på terminal-servern. Det här är en sårbarhet som angriparen kan utnyttja genom att fånga trafik mellan klient och terminal-server. Det utförs oftast genom att ARP-spoofing (Address Resolution Protocol) eller DNS-spoofing (Domain Name System) omdirigerar trafiken till angriparen. Det finns lättanvända gratisverktyg, såsom Kain och Abel, som skyddar mot den här typen av intrång. Liknande attacker kan också utföras på krypterad RDA-trafik, men här jagar medelhög kryptering bort de flesta angripare.

De här attackerna utförs vanligen i två steg: avlyssning och dekryptering. I traditionella MITM-attacker får hackare tillgång till osäkra/dåligt säkrade Wi-Fi-routrar som kan finnas i offentliga utrymmen (såsom gratis Wi-Fi-hotspots) eller hemma om anställda inte skyddar sina nätverk. Hackare kan sedan skanna en router efter sårbarheter såsom svaga lösenord. Cyberbrottslingar använder sedan  en speciell programvara för för att fånga och läsa överförd data.

Angripare kan också fånga inloggningsuppgifter, bankinformation och andra känsliga personuppgifter genom att implementera  speciella mjukvaruverktyg mellan den attackerade datorn och centrala webbplatser. Tyvärr slutar inte en MiDM-attack vid avlyssning. Med hjälp av unika verktyg och tekniker dekrypteras sedan stulen data.

Dekrypteringsattacker

RDA använder starkast möjliga kryptering för Server-Client-trafik som stöds av klienten. Men nätverket består ofta av klienter i tidigare versioner. Det innebär att vissa svagare anslutningar kan ha lägre krypteringsnivåer som kan dekrypteras inom rimlig tid.

Service Denial (Network Level Authentication)

Network Layer (NLA) skyddar mot Denial-of-Service-attacker, där hotaktörer gör kontinuerliga anslutningsförsök som stoppar legitima användares anslutning. NLA på en terminal-server kan emellertid vara en risk om den inte är korrekt konfigurerad.

Efter att ha tittat på några möjligheter till intrång är det lätt att undra om det finns okända Remote Desktop Application-sårbarheter och hur säker RDP-programvara egentligen är?

Fundamentalt kan RDP-säkerhet delas in i:

  • Standard Security
  • Enhanced Security

Standard Security skyddar överförd data med RDA RC4 Encryption Algorithm. Krypteringen baseras på utväxling av slumpmässiga värden, som skyddar data från obehörig användning, mellan klient och server.

Enhanced Security bygger på att en eller flera säkerhetsfaser, såsom kryptering, dekryptering och integritetskontroller, outsourcas. Det här kan ske med hjälp av ett av följande externa protokoll:

  • Transport Layer Security Protocol (TLS 1.0/1.1/1.2);
  • Credential Security Support Provider (CredSSP);
  • Network Level Authentication (NLA) som tvingar klientsessionen att autentisera med RDP-servern.

Enhanced Protocol använder direct eller negotiating methods. En Direct method fokuserar på säkerhet, medan Negotiation method använder anslutningsinitiering etablerad utanför säkerhetsprotokollet, där klient och server väljer säkerhetsprotokollet först efter initieringen. Den största fördelen med Enhanced Security RDP är implementering av Network Level Authentication (NLA), som använder CredSSP för autentisering av användare innan de kan nå RDP-servrarna.

Hur kan du skydda din RDA?

Trots de redan här sårbarheterna är användarna inte hjälplösa. Det finns några relativt enkla åtgärder som gör det svårare för angripare att ta sig in i systemet. Två starka rekommendationer är att aktivera Network Level Authentication (NLA) och att ha RDA-servrar bakom brandväggar, ej direkt exponerade för för Internet. Därmed minskar attackytan avsevärt.

Men det finns mer att göra:

  • Inför multi-factor authentication (MFA) för att nå RDP-servrar korrekt konfiguration av  distansskrivbordets gateways. Det här ska vara den enda accesspunkten till företagets datorer (se whitepaper).
  • Inaktivera alla lokala administrationskonton med RDP-åtkomst.
  • Begränsa administratörs access vid distansarbete. Enbart systemadministratören bör få administratörsaccess vid distansarbete.
  • Begränsa antalet systemadministratörer som kan utföra RDA-konfigurationen.
  • Inför lägsta privilegium med PAM-lösning (privileged access management) som möjliggör effektiv Windows-administration utan domänadministratör eller andra superanvändarprivilegier.
  • Se till att alla RDA-klienter är uppdaterade med de senaste patcharna.
  • Inför starka lösenordspolicyer som låser användare från datorn efter några misslyckade inloggningar.
  • Begränsa åtkomst till domänadministratörskonto.
  • Spärra användare och blockera eller ge IP-adresser med många misslyckade inloggningsförsök timeout.
  • Undvik utdaterade krypteringsmetoder om du använder ett företags VPN.

Med över 4,5 miljoner RDA-servrar på Internet och oändligt antal maskiner anslutna till företag eller privata nätverk är det omöjligt att garantera 100 procent säkerhet. Men ett ett Cyber ​​Security Operation Center (så kallade SOCs) som gör penetrationstest på nätverket ger nära komplett skydd. Håll dig säker!

Conscias Security Operation Center finns här om du vill veta mer!

Välkommen

 

Kontakta oss!
Svar inom 24h