據Rapid7實驗室最近發布的報告顯示,目前全球總計存在410萬個通過遠程桌面協議(簡稱RDP)接收通信數據的Windows端點。
Rapid7報告:數百萬終端通過RDP遭到曝光-E安全
遠程桌面是方便Windows服務器管理員對服務器進行基于圖形界面的遠程管理。遠程桌面基于RDP遠程桌面協議,是一個多通道(multi-channel)的協議,讓使用者所在計算機(用戶端或‘本地計算機’)連上提供微軟終端機服務的計算機(稱為服務端或‘遠程計算機’)。
RDP遠程桌面協議曾修補漏洞多達20次
從安全角度來講,RDP遠程桌面協議在歷史上可謂“頗具地位”。至少自2002年開始,微軟已經發布了20項與RDP相關的安全更新,而且至少存在24項獨立CVE,具體包括:
· MS99-028: 終端服務器連接請求洪流漏洞
· MS00-087: 終端服務器登錄緩沖區溢出漏洞
· MS01-052: 無效RDP數據可能導致終端服務故障
· MS02-051: RDP協議中的加密缺陷可能導致信息泄露
· MS05-041: 遠程桌面協議中的安全漏洞可能導致拒絕服務
· MS09-044: 遠程桌面連接中的安全漏洞可能導致遠程代碼執行
· MS11-017: 遠程桌面客戶端中的安全漏洞可能導致遠程代碼執行
· MS11-061: 遠程桌面Web訪問中的安全漏洞可能導致權限提升
· MS11-065: 遠程桌面協議中的安全漏洞可能導致拒絕服務
· MS12-020: 遠程桌面中的安全漏洞可能導致遠程代碼執行
· MS12-036: 遠程桌面中的安全漏洞可能導致遠程代碼執行
· MS12-053: 遠程桌面中的安全漏洞可能導致遠程代碼執行
· MS13-029: 遠程桌面客戶端中的安全漏洞可能導致遠程代碼執行
· MS14-030: 遠程桌面中的安全漏洞可能導致篡改
· MS14-074: 遠程桌面協議中的安全漏洞可能導致安全功能回避
· MS15-030: 遠程桌面協議中的安全漏洞可能導致拒絕服務
· MS15-067: 遠程桌面協議中的安全漏洞可能導致遠程代碼執行
· MS15-082: 遠程桌面協議中的安全漏洞可能導致遠程代碼執行
· MS16-017: 用于解決權限提升問題的遠程桌面顯示驅動程序安全更新
· MS16-067: 分卷管理器驅動程序安全更新
最近一段時間以來,影子經濟人公布了指向Windows 2003與XP系統內RDP協議的Esteemaudit漏洞。近期公布的漏洞(CVE-2017-0176)很可能正是受到這項最新曝光的RDP安全漏洞的啟發。
RDP遠程桌面協議廣泛應用存風險
Rapid7實驗室在其聲納項目(Project Sonar)當中一直關注RDP在全球IPv4互聯網當中的暴露問題。實驗室首先立足蜜罐角度研究了RDP的濫用行為,并將其納入去年發布的《攻擊者詞典》當中。
通過這項以Windows端點總體RDP暴露情況作為主要關注方向的研究,安全廠商Rapid7實驗室發現了總計1100萬個開放3389/TCP端點,而其中410萬個“通過RDP實現彼此通信”。
此項研究延續該公司之前發布的多篇報告,2016年年初,聲納項目觀察到高達1080萬個疑似開放RDP端點,作為Rapid7實驗室2016年度國內曝光指數研究成果的一部分,2016年第二季度的兩項檢測中分別觀察到900萬與940萬個疑似開放RDP端點。
最近,作為2017年國內曝光指數的一部分,聲納項目于2017年第一季度觀察到的端點數量則下降至720萬個。
端點暴露雖然值得關注,但真正重要的是所暴露協議究竟會引發怎樣的風險。
作為聲納項目的組成部分,蜜罐、tarpit、IP或者其它看似屬于開放端點,但實際不是安全設備,其并不屬于安全隱患因素。
Rapid7報告:數百萬終端通過RDP遭到曝光-E安全
以上公布的數據可信嗎?
互聯網上當然不可能存在高達7000萬套遭到RDP暴露在外的系統,對吧?
最近,聲納調查以更為準確地了解公開互聯網上存在實際RDP暴露問題的系統數量。Rapid7以此前的RDP研究方式,即簡單進行zmap SYN掃描為基礎,進一步對其中各個IP進行完整連接,對RDP客戶端在與RDP服務器聯絡時進行的一系列協議交互操作中的第一項進行嘗試。
這套簡單的初步協議協商流程能夠模擬現代RDP客戶端的執行方式,且與利用Nmap識別RDP的作法非常相近。這條長度為19字節的RDP協商請求應該能夠在幾乎每個有效RDP配置當中獲得響應,范圍覆蓋舊有RDP版本的默認(低安全性)設置到新型默認設置中的NLA與SSL/TLS要求。
全球RDP端點暴露情況
今年3月,一份安全報告則披露稱,RDP曾放行用于勒索軟件分發的電子郵件。在將RDP與各類勒索軟件變種相關的交付方式進行關聯之后,研究人員們得出結論,認為攻擊者們正越來越多地通過暴力破解RDP證書以部署此類惡意軟件。
另有報道指出,詐騙分子一直利用RDP作為其攻擊活動的一部分,其往往在不必要的情況下說服用戶啟用RDP以便提供“遠程支持”。可以想見,RDP正以各種方式在公開互聯網上被有意或者無意地暴露在外。
Rapid7報告:數百萬終端通過RDP遭到曝光-E安全
根據相關報告,目前大多數暴露RDP端點位于美國(占比28.8%,實際數量超過110萬)。中國同樣擁有大量暴露的RDP端點(占比17.7%,實際數量約73萬)。緊隨其后的則分別為德國(4.3%,約17萬7千)、巴西(3.3%,約13萬7千)以及韓國(3.0%,約12萬3千)。
Rapid7報告:數百萬終端通過RDP遭到曝光-E安全
安全研究人員們還面向各家企業所擁有的IP進行了RDP暴露端點調查,結果顯示:亞馬遜(占比7.73%),阿里巴巴(6.8%)、微軟(4.96%)、中國電信(4.32%)以及康卡斯特(2.07%)。
RDP協議問題受托管服務供應商影響
Rapid7公司指出,這亦反映了為何一部分國家的暴露端點數量要明顯高于其它國家,這是因為其國內擁有大量云、虛擬或者物理托管服務供應商。在這種情況下,“以遠程方式訪問Windows設備將成為一種必需。”
安全研究人員們還發現,超過83%的被發現RDP端點希望采用CredSSP作為安全協議。如此一來,RDP會話將擁有理想的安全性保障。另外,雖然也有一部分RDP端點選擇了SSL/TLS,但仍有超過15%的暴露端點聲明其無法支持SSL/TLS。
Rapid7公司指出,“雖然有83%的RDP端點宣稱其支持CredSSP,但這并不意味著其無法支持其它低安全性選項。換言之,這僅意味著如果客戶愿意,則能夠采取更為安全的路由機制。”另外,該公司同時強調稱,超過80%的暴露端點包含有用于保護RDP會話的常規手段。
RDP配置方式或引發嚴重后果
Rapid7公司指出,“RDP正以各種方式在公開互聯網上被有意或者無意地暴露在外,其在公開互聯網上的暴露程度遠超大家的想象。暴露程度取決于具體RDP配置方式,將其直接開放至互聯網可能帶來從自我毀滅到造成安全漏洞等一系列后果。”
RDP本身雖然在全部Windows版本當中皆默認被禁用,但管理員通常會立足內部網絡加以啟用,旨在簡化管理及支持等日常工作。事實上,幾乎任何組織機構都會采用RDP方案,而且其確實能夠帶來極大便利。
Rapid7公司指出,“舊有Windows版本中的默認RDP配置導致其可能受到數種攻擊活動的影響;然而,新版本通過默認啟用網絡級身份驗證(簡稱NLA)機制而大大提升了安全水平。”
今年年初,影子經濟人組織公布了竊取自美國國家安全局方程組項目內的EsteemAudit漏洞,此項漏洞專門指向Windows 2003與XP系統上的RDP。微軟方面公布了Windows XP安全更新以解決相關漏洞,其中包括EsteemAudit所利用的CVE-2017-0176。
有什么解決方案?
將RDP端點直接開放至互聯網可能帶來從自我毀滅到造成安全漏洞等一系列后果。一個簡單的解決方案是,利用適當的防火墻規則或者ACL限制以確保僅受信IP地址可進行RDP訪問,即可帶來理想的保護效果。
然而,這些額外的安全保障機制僅在Bob-from-Accounting網站上提到的每周變更IP地址的前提下方能成立。當然,很多RDP可能配合VPN使用且確實能夠顯著提升安全水平,但互聯網上的高安全性RDP端點與VPN的安全性基本相當。
另外,如果安全保護效果不明的家庭成員或者朋友需要遠程協助,啟用RDP通常是大家的第一選擇。
未來如何提高RDP通信安全性?
安全協議與受支持加密級別。Nmap擁有一套NSE腳本,其將枚舉所有可用于RDP的安全協議與加密級別。雖然有83%的RDP端點宣稱其支持CredSSP,但這并不意味著其無法支持其它低安全性選項。也就是說,如果客戶愿意,則能夠采取更為安全的路由機制。
當采用TLS/SSL或者CredSSP時,企業是否會遵循與證書相關的各項最佳實踐,包括自簽名證書(可能引發MiTM)、過期以及薄弱算法?
在非微軟客戶端及服務器當中探索如何實現RDP功能。
京公網安備 11010502049343號