Faites-vous usage du Remote Desktop Protocol de Microsoft ? Si oui, que faire pour se prémunir d'attaques ?
Sophos Labs donne des pistes
Le 2017-11-20 12:54:16, par Patrick Ruiz, Chroniqueur Actualités
Je suis une petite entreprise en quête d’assistance sur mon parc informatique. L’une des solutions qui s’offrent à moi est de le confier à un opérateur distant, ce, pour des raisons qui relèvent des aspects organisationnels de ma boîte. Pour l’atteinte de tels objectifs, l’univers Windows offre le protocole RDP. Vous avez dit RDP ? Oui, RDP à ne surtout pas confondre avec Ransomware Deployment Protocol (protocole de déploiement de rançongiciels) mais à développer comme Remote Desktop Protocol.
Une image vaut mieux que mille mots et avec celle qui suit, on est fixé sur l’usage qu’on peut faire de cette fonctionnalité offerte par le système d’exploitation Windows. C’est dire que depuis la pièce d’à côté, le quartier voisin ou un autre pays, le contractant peut se connecter à un PC du parc informatique de l’entreprise. Il dispose pour cela d’une large palette d’appareils via lesquels il peut agir sur le PC comme s’il était présent dans la pièce où ce dernier se trouve.
D’après les chercheurs de la firme de sécurité Sophos Labs, les attaques contre les entreprises qui activent le protocole sur leur parc informatique constituent l’une des nouvelles niches des cybercriminels. Ils rapportent avoir observé de récentes campagnes au rançongiciel orchestrées via le protocole RDP. Ci-dessous, la traditionnelle invite de demande de rançon d’une desdites campagnes. Plus intéressant, les chercheurs de la firme font état de ce que les cybercriminels derrière cette campagne ont engrangé l’équivalent de 60 000 dollars au moins.
Pour se prémunir de telles attaques dans le cas de connexions via le protocole RDP, les chercheurs recommandent entre autres l’usage de mots de passe de session robustes, l’utilisation de l’outil RDP en tandem avec une solution VPN dans le cas d’une connexion hors du réseau local de l’entreprise, l’utilisation de l’authentification à deux facteurs ou encore la désactivation du protocole RDP en cas de non-utilisation. Finalement, le problème que soulèvent les chercheurs de la firme de sécurité Sophos Labs n’est pas nouveau en soi. Au risque de se tromper, on peut affirmer que la véritable faille se trouve entre la chaise et le clavier.
Comment expliquer par exemple qu’un administrateur système choisisse un mot de passe de session que l’on peut aisément casser à l’aide d’un outil dédié ? Il vient donc qu’il s’agit de problèmes de configuration qu’il est d’ailleurs possible d’observer avec des outils similaires sur d’autres systèmes d’exploitation.
Source
Sophos Labs
Votre avis
Quelles autres recommandations d’usage faites-vous pour l’outil bureau à distance de Windows ?
Quelles alternatives proposez-vous pour assurer que le parc informatique d’une organisation ne soit mis en péril de la sorte ?
Une image vaut mieux que mille mots et avec celle qui suit, on est fixé sur l’usage qu’on peut faire de cette fonctionnalité offerte par le système d’exploitation Windows. C’est dire que depuis la pièce d’à côté, le quartier voisin ou un autre pays, le contractant peut se connecter à un PC du parc informatique de l’entreprise. Il dispose pour cela d’une large palette d’appareils via lesquels il peut agir sur le PC comme s’il était présent dans la pièce où ce dernier se trouve.
D’après les chercheurs de la firme de sécurité Sophos Labs, les attaques contre les entreprises qui activent le protocole sur leur parc informatique constituent l’une des nouvelles niches des cybercriminels. Ils rapportent avoir observé de récentes campagnes au rançongiciel orchestrées via le protocole RDP. Ci-dessous, la traditionnelle invite de demande de rançon d’une desdites campagnes. Plus intéressant, les chercheurs de la firme font état de ce que les cybercriminels derrière cette campagne ont engrangé l’équivalent de 60 000 dollars au moins.
Pour se prémunir de telles attaques dans le cas de connexions via le protocole RDP, les chercheurs recommandent entre autres l’usage de mots de passe de session robustes, l’utilisation de l’outil RDP en tandem avec une solution VPN dans le cas d’une connexion hors du réseau local de l’entreprise, l’utilisation de l’authentification à deux facteurs ou encore la désactivation du protocole RDP en cas de non-utilisation. Finalement, le problème que soulèvent les chercheurs de la firme de sécurité Sophos Labs n’est pas nouveau en soi. Au risque de se tromper, on peut affirmer que la véritable faille se trouve entre la chaise et le clavier.
Comment expliquer par exemple qu’un administrateur système choisisse un mot de passe de session que l’on peut aisément casser à l’aide d’un outil dédié ? Il vient donc qu’il s’agit de problèmes de configuration qu’il est d’ailleurs possible d’observer avec des outils similaires sur d’autres systèmes d’exploitation.
Source
Sophos Labs
Votre avis
-
joKEDMembre confirméRDP pour de l'assistance pc ponctuelle ? Perso, non, pas pratique du tout (sécurisation, config de firewall/box/...).
Autant utiliser des outils tiers bien plus facile d'accès tels que teamviewer, logmein, anydesk, ou autres.
Après, niveau serveurs, RDP oui, si et seulement si :
- ne pas utiliser le port par défaut (3389)
- connexion en VPN ou (à défaut), n'autoriser que des ip (ou range d'ip) autorisés à se connecter
- utilisation d'un mot de passe fort pour l'user ayant accès au rdp, et ne donner des droits de login rdp strictement qu'à cet utilisateurle 20/11/2017 à 16:11 -
vanquishMembre chevronnéSur un serveur, les tentatives de connexions étaient telles, que 20% de processeur était consommé pour gérer les refus de login.
Le mot de passe très solide, a heureusement empêché toute intrusion.
On a mis en place 2 mesures :
- Changement du port RDP
Ce n'est en aucun cas une garantie, mais dans la pratique cela règle le problème.
- installation d'un outil appelé RDP Guard (80$)
Après X échecs de tentatives de connexions depuis la même adresse IP, l'adresse est ajouté au firewall de Windows pour Y heures.
Cela apporte la garantie, que n'apporte pas la première mesure.
Il existe un produit alternatif à priori gratuit : RDP Defender
Mais RDP Guard, ne protège pas que le RDP (mais aussi FTP, SMTP, Web login etc.)le 20/11/2017 à 13:25 -
chrtopheResponsable SystèmesAeson, merci de ne pas raconter d'inepties.
RDP bien configuré et maitrisé a tout à fait sa place pour un accès à distance à une application métier par exemple.
Il est aussi possible de s'orienter vers des solutions tierces type Citrix. Cela change le vecteur d'attaque.le 22/11/2017 à 6:39 -
AesonNouveau Candidat au ClubAeson, merci de ne pas raconter d'inepties.
Gerer des serveurs en RDP, c'est ca l'ineptie....le 22/11/2017 à 11:33 -
chrtopheResponsable SystèmesJ'ai des serveurs en prod sur lesquels des connexions se font en RDP. Jamais eu de probs, et pourtant il y en a des attaques. Après je dis pas que c'est l'idéal.le 22/11/2017 à 20:23
-
AesonNouveau Candidat au ClubLes ataques les plus dangereuse sont celles venant de l'interieur. Exampls TRES courant. Tu fais une connection RDP avec un compte Domain Admin (pour faire du support ou autres). Pedant ce temp ou si tu oublie de fermer ta session, un autre utilisateur se connecte en local admin. Un petit coup de MimiKatz et tes credentials Domain Admin sont volées. L'utilisateur vient donc de se donné les droits Domain Admin sur le reseauc et fait par definition ce qu'il veut.le 22/11/2017 à 21:11
-
chrtopheResponsable SystèmesTu fais une connection RDP avec un compte Domain Adminle 23/11/2017 à 7:43
-
AesonNouveau Candidat au ClubJamais.le 23/11/2017 à 11:55
-
chrtopheResponsable SystèmesJe te crois... Personne ne fait ca.. c'est bien connule 23/11/2017 à 21:14
-
AesonNouveau Candidat au Clubça fait parti des bonnes pratiques
https://blogs.technet.microsoft.com/...2016-security/
Sans meme parle de la perte productivité qu'il y a quand on utilise RDP...le 23/11/2017 à 21:33