Technique d'attaque
Attaques par le protocole de bureau à distance (RDP)
Le protocole de bureau à distance (RDP) est un outil puissant, mais il présente des risques de sécurité importants s'il n'est pas correctement géré. Voici ce qu'il faut savoir sur les dernières méthodes d'attaque et les meilleures pratiques pour améliorer la sécurité.
Définition
Qu'est-ce que le protocole de bureau à distance ?
Le protocole de bureau à distance est inclus dans la plupart des systèmes d'exploitation Windows et constitue un élément important du travail moderne. Il permet aux administrateurs informatiques d'accéder aux systèmes internes à des fins de maintenance et d'assistance, et facilite le travail à distance en permettant aux employés de se connecter au réseau de l'entreprise lorsqu'ils travaillent à domicile.
Cependant, le protocole RDP présente des risques importants. En raison de sa prévalence et du niveau d'accès qu'il offre, il est devenu une cible majeure pour les cybercriminels.
Comment cela fonctionne-t-il ?
Comment fonctionnent les attaques RDP
RDP fonctionne généralement sur le port TCP 3389, le port assigné qui permet aux utilisateurs de se connecter à distance à un appareil ou à un système de l'entreprise. Comme il s'agit généralement du port assigné, les attaquants savent qu'ils doivent le cibler.
Les connexions de bureau à distance sont également l'occasion d'exploiter des informations d'identification faibles. Il est notoire que les employés utilisent le même mot de passe sur plusieurs appareils et comptes - y compris pour l'accès au bureau à distance - ce qui les rend très vulnérables aux attaques par bourrage d'informations d'identification.
Pourquoi les attaquants l'utilisent-ils ?
Pourquoi les attaquants utilisent-ils RDP ?
Les attaquants utilisent fréquemment le protocole RDP pour obtenir un accès non autorisé aux ressources du réseau. Les connexions RDP réussies ouvrent non seulement la porte à des données sensibles et à des systèmes critiques, mais peuvent également servir de base pour lancer d'autres attaques. Malgré son utilité, RDP présente plusieurs faiblesses de sécurité qui ont été exploitées de nombreuses manières :
- Attaques par force brute: Les pirates utilisent souvent des scripts automatisés pour forcer les identifiants de connexion RDP. Une fois l'accès obtenu, les attaquants peuvent se déplacer latéralement au sein d'un réseau, déployer des ransomwares et exfiltrer des données sensibles.
- Serveurs RDP exposés : Les instances RDP mal configurées et exposées à l'internet sont des cibles faciles pour les attaquants. De nombreuses organisations laissent RDP ouvert sans VPN ni restrictions de pare-feu, ce qui les rend très vulnérables aux attaques.
- Transmission des ransomwares : Les serveurs RDP avec des mots de passe faibles ou des contrôles d'accès inadéquats sont souvent le premier point d'entrée dans les attaques de ransomware.
- Récolte d'informations d'identification : Les attaquants peuvent exploiter les vulnérabilités de RDP pour voler des informations d'identification, soit par des attaques de type "man-in-the-middle", soit en accédant à des protocoles d'authentification mal configurés.
Détections de plates-formes
Comment prévenir et détecter les activités RDP suspectes ?
Les bureaux à distance sécurisés sont essentiels pour prévenir les failles de sécurité et les accès non autorisés.
Pour réduire le risque de brèches liées à RDP, les organisations peuvent :
- Limiter l'exposition au protocole RDP : utilisez des réseaux privés virtuels (VPN) ou un accès réseau sans confiance (ZTNA) pour protéger les services RDP de l'internet. L'exposition directe de RDP constitue un risque majeur, en particulier dans les environnements où les attaquants peuvent rechercher les ports RDP ouverts.
- Géo-bloquer les adresses IP ou restreindre les IP autorisées à initier des sessions RDP par le biais de règles de pare-feu.
- Appliquer l'authentification multifactorielle (MFA) : Exigez l'authentification multifactorielle pour les connexions RDP afin d'ajouter une couche supplémentaire de protection contre le vol de données d'identification et les attaques par force brute. L'authentification multifactorielle garantit que même si un mot de passe est compromis, les attaquants ont toujours besoin d'un deuxième facteur d'authentification.
- Activer l'authentification au niveau du réseau (NLA): L'authentification au niveau du réseau oblige les utilisateurs à s'authentifier avant l'établissement d'une session RDP. Il s'agit d'une étape importante pour limiter les accès non autorisés, car elle garantit que seuls les utilisateurs légitimes peuvent se connecter.
- Utiliser des politiques de verrouillage des mots de passe: Configurer des mécanismes de verrouillage de compte qui bloquent temporairement les tentatives de connexion après plusieurs essais infructueux.
Toutefois, l'amélioration de la sécurité ne se limite pas à la prévention : l'application des mots de passe et les correctifs n'empêcheront pas toutes les tentatives d'attaque. C'est pourquoi des mesures de sécurité supplémentaires sont indispensables. Plus important encore, toutes les organisations ont besoin d'un moyen fiable d'identifier rapidement les tentatives inhabituelles d'établissement de connexions RDP.
Vectra AISuspicious Remote Desktop Protocol identifie les écarts par rapport aux schémas d'utilisation normaux du protocole RDP. C'est le cas par exemple : Lorsqu'un serveur interne reçoit plusieurs tentatives de connexion RDP à partir d'une adresse IP externe en dehors des heures de bureau, ou qu'il y a un pic soudain de demandes de connexion à partir d'un lieu inconnu, ces activités tireraient automatiquement la sonnette d'alarme. Ces détections sont automatiquement triées, corrélées et analysées à l'aide de l'IA avancée et de l'apprentissage automatique, ce qui permet aux analystes de sécurité de déterminer rapidement quand une enquête plus approfondie est nécessaire.
