Het Amerikaanse Federal Bureau of Investigations (FBI) waarschuwt vandaag voor een toename van het aantal hacks dat plaatsvindt via Remote Desktop Protocol (RDP). Miljoenen endpoints zouden niet alleen direct toegankelijk zijn, daardoor zijn ze ook zeer kwetsbaar voor aanvallen.

RDP werd in de jaren negentig ontwikkeld door Microsoft en stelt gebruikers ertoe in staat om op een andere computer in te loggen en vervolgens via een visuele interface met onder meer een muis en toetsenbord interactie met die computer te hebben. RDP wordt zelden gebruikt op thuiscomputers, maar relatief vaak voor workstations in zakelijke netwerken. Zo kunnen systeembeheerders toegang krijgen tot een apparaat waar ze niet in persoon naartoe kunnen gaan.

Toename open RDP-verbindingen

In zijn bericht schrijft de FBI dat het aantal computers dat een RDP-verbinding open heeft staan en daarmee toegankelijk is op het internet, sinds midden 2016 is toegenomen. Dat klopt wel als we naar cijfers van verschillende beveiligingsbedrijven kijken. Zo meldde Rapid7 begin 2016 dat er op het internet negen miljoen apparaten waren met RDP ingeschakeld en in 2017 al elf miljoen.

Hackers weten die zaken natuurlijk ook en om die reden is er de afgelopen paar jaren een toename geweest in het aantal incidenten waarbij hackers toegang kregen tot een netwerk via een opengestelde RDP-verbinding. De afgelopen drie jaar zijn er zelfs tientallen ransomware-programma’s ontwikkeld specifiek voor hackers die misbruik maken van RDP-verbindingen.

Meerdere exploits

Er zijn min of meer drie manieren waarop hackers toegang kunnen krijgen tot apparaten als ze RDP willen misbruiken. De makkelijkste manier is als een systeembeheerder RDP openstelt, maar geen wachtwoord instelt. Daarop kunnen hackers gewoon inloggen op apparaten zonder een wachtwoord in te voeren. Mocht er wel een wachtwoord zijn, dan kunnen hackers een brute-force attack gebruiken en het wachtwoord ‘raden’. De derde methode heeft te maken met een scan van het internet, waarbij hackers om in te loggen code misbruiken in RDP-protocollen.

De FBI raadt alle systeembeheerders nu aan om hun RDP-verbindingen indien niet gebruikt uit te schakelen. De verbinding zou enkel open mogen staan als een systeem volledig up-to-date is en van alle mogelijke patches voorzien is. Deze en meer tips staan op de site van de FBI.