Remote Desktop Protocol (RDP) är ett kommunikationsprotokoll utvecklat av Microsoft som möjliggör att dela det du ser på skärmen med en annan dator över nätverket. Protokollet presenterades 1996 och var från början tänkt att användas på interna nätverk, och används flitigt än idag för att administrera Windows-servrar och inte minst för att underlätta i supportärenden. Protokollet består av en serverdel som delar ut protokollet över tcp-porten 3389, och en klientapplikation. Klientapplikationen finns även för andra operativsystem som Linux och Mac OS X.
Rdp har genom åren visat sig vara en säkerhetsrisk. Microsoft har sedan 2002 släppt 20 säkerhetsuppdateringar för protokollet, och i dagsläget finns det 25 kända sårbarheter med CVE-klassning som rör rdp. Med detta i åtanke innebär det en stor risk att exponera Windows-servrar mot internet med tcp-port 3389 öppen. Rdp-tjänsten på en Windows-maskin skyddas i grundläget endast av användarnamn och lösenord, vilket anses vara en för låg säkerhetsnivå.
Trots att de flesta it-administratörer känner till riskerna väljer många, medvetet eller omedvetet, att exponera rdp mot internet. Förklaringen är förmodligen att rdp är ett bekvämt sätt att fjärradministrera servrar. Inom Windows-miljön är rdp onekligen smidigt, men farligt. Även med fullt uppdaterade Windows-servrar av senaste version bör man vara mycket försiktig med att exponera rdp mot internet utan extra säkerhetslager.
Rdp-lösenord säljs på svarta marknaden
Även uppdaterade Windows-system är alltså sårbara, även om det vanligaste problemet är att system med öppna rdp-portar inte är uppdaterade. Det hänger inte minst ihop med att lösenord till företags rdp-tjänster säljs öppet på svarta marknaden. Ett annat problem är att rdp-system är sårbara för så kallade brute-force-attacker där förövarna systematiskt och automatiserat testar olika lösenord. Är då lösenordet svagt är risken stor att förövarna kommer in. Ytterligare en sårbarhet är att säkerhetskonfigurationerna på endera ändpunkten kan vara felaktig; även detta öppnar för attacker.
Eftersom rdp-tjänsten ofta används för att administrera servrar, givetvis via ett administratörskonto, är systemet vidöppet när förövaren väl överlistat skyddet.
– Rdp är ganska dåligt om det är öppet, inte bara för att det kan finnas sårbarheter i rdp-tjänsten (authentication bypass), men även för att inloggningsuppgifter för rdp-tjänster säljs friskt på svarta marknaden, säger David Jacoby, säkerhetsexpert på Kaspersky Labs till Techworld.
Belgiska saas-leverantören Awingu har genomfört en analys av öppna rdp-portar bland svenska företag. Denna analys, som Techworld tagit del av, visar att inte mindre än 9 655 svenska organisationer exponerar rdp-porten mot internet. Alla dessa organisationer löper stor risk att utsättas för attacker. Awingu gjorde sin undersökning genom att med hjälp av sökmotorn Shodan ta reda på vilka svenska ip-adresser som exponerar tcp-porten 3389.
– Med tanke på omständigheterna måste man vara tokig om man exponerar rdp-porten utan något extra skyddslager, säger Kurt Bonne, cto på Awingu.
Man måste vara tokig om man exponerar rdp-porten utan något extra skyddslager
Men problemet med exponerade rdp-portar begränsas förstås inte endast till Sverige. Sökmotorn Shodan användes även av säkerhetsföretaget Avast när de i oktober förra året kom fram till att nästan 3,5 miljoner rdp-portar är exponerade världen över.
Gisslanprogram älskar rdp
I åratal har gisslanprogram (ransomware) utnyttjat säkerhetsbristerna i rdp. Olika varianter med namn som ACCDFISA, SamSam och CrySiS utnyttjar svagheter i rdp för att ta sig in i offrens system och kryptera data. CrySiS har i sin tur gett upphov till fler varianter som Dharma, Brrr, Gamma och Monro. Nyligen skrev Techworld om en ny variant av Dharma som heter Phobos, som upptäcktes av säkerhetsanalytiker så sent som i december förra året. Att gisslanprogram älskar rdp är i sig ett bevis på protokollets svagheter; de som utvecklar attackerna vet att använda minsta motståndets lag.
– Vi har sett flera ransomware-attacker som spridits just via stulna rdp-konton, säger David Jacoby på Kaspersky Labs.
Även amerikanska federala polisen FBI har tillsammans med säkerhetstjänsten Department of Homeland Security uppmärksammat sambandet mellan gisslanattacker och exponerade rdp-portar. I en offentlig varning som publicerades 27 september förra året skriver myndigheterna att alla som använder rdp bör se över sina system och stänga av protokollet där det inte är absolut nödvändigt, men att systemen kan skyddas med hjälp av vpn-kopplingar och tvåfaktorsautentisering.
Där rdp-protokollet är nödvändigt ska administratörerna av systemet se till att säkra. Alla Techworld talat med är rörande överens om att protokollet helst bör stängas av, men om systemadministratörer måste använda rdp så ska det göras över vpn. Ett annat bra sätt att skydda systemen är att använda tvåfaktorsautentisering.
– Man ska skydda sina Windows-system genom att blockera rdp och endast ge tillgång till systemen via rdp-porten över vpn, men det är inte alltid en tillgänglig eller enkel metod. Då är tvåfaktorsautentisering vägen framåt, säger Kurt Bonne på Awingu.
Läs också:
Ny värsting bland gisslanprogram attackerar företag med känd sårbarhet
Åtta it-säkerhetstrender att ha koll på under 2019
