Rapid7警告聲明：遠程桌面協議暴露數百萬 Windows 終端

去年6月，卡巴斯基實驗室研究人員揭露，黑客利用遠程桌面協議（RDP）竊取85,000台來自醫院、學校、航空公司和政府機構的伺服器，還公開在地下黑市販賣；今年4月，黑客利用RDP終端與俄羅斯銀行的8台ATM機建立連接，吐出80萬美元存款；今年6月，勒索軟體SamSam也是使用RDP成功感染了其他電腦設備，種種案例表明RDP終端已經成為黑客入侵電腦的管道。

近日，根據Rapid7 公司安全專家進行的一項研究結果顯示，截至今年7月，全球仍有410萬個遠程桌面協議（RDP）終端公開暴露在網路上。研究人員發現，一共有1100萬個開放的3389 / TCP終端，其中410萬個是遠程桌面協議（RDP）開放終端。

關於遠程桌面協議（RDP）

遠程桌面協議（RDP）是一個多通道（multi-channel）的協議，讓使用者（所在計算機稱為用戶端或「本地計算機」）連上提供微軟終端機服務的計算機（稱為服務端或「遠程計算機」）。大部分的Windows版本都有用戶端所需軟體，有些其他操作系統也有這些用戶端軟體，例如Linux、FreeBSD、MacOSX，服務端計算機方面，則聽取送到TCPport3389的數據。

遠程桌面協議安全隱患

今年5月，Rapid7公司曾發布過另一項研究報告，揭示了數百萬設備正是因為SMB、Telnet、RDP以及其他類型的配置錯誤遭受網路攻擊。該報告指出，2016年初有約1080萬個RDP終端，而到了今年第一季度，這一數字降到了720萬個。

研究人員指出，即使用戶在 Windows 上默認禁用 RDP 協議，它通常也會繼續在內部網路中發揮運行與維護的作用。但是該協議存在嚴重的安全隱患，微軟在過去15年間已經處理了幾十處RDP漏洞，具體如下所示：

MS99-028: Terminal Server Connection Request Flooding Vulnerability

MS00-087: Terminal Server Login Buffer Overflow Vulnerability

MS01-052: Invalid RDP Data Can Cause Terminal Service Failure

MS02-051: Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure

MS05-041: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution

MS11-017: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS11-061: Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege

MS11-065: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution

MS12-036: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS12-053: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS13-029: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS14-030: Vulnerability in Remote Desktop Could Allow Tampering

MS14-074: Vulnerability in Remote Desktop Protocol Could Allow Security Feature Bypass

MS15-030: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS15-067: Vulnerability in RDP Could Allow Remote Code Execution

MS15-082: Vulnerabilities in RDP Could Allow Remote Code Execution

MS16-017: Security Update for Remote Desktop Display Driver to Address Elevation of Privilege

MS16-067: Security Update for Volume Manager Driver

報告指出，

從安全形度來看，RDP的歷史是多樣的，自2002年以來，微軟已經針對RDP發布了至少20個安全更新程序，至少修復了24個與RDP相關的安全漏洞（CVE）。

最近一次發現的漏洞是今年4月份影子經紀人（ShadowBrokers）泄漏的一個國家安全局（NSA）安全漏洞—— EsteemAudit（漏洞編號CVE-2017-0176），其攻擊目標就是包括Microsoft Windows Server 2003 / Windows XP在內的Windows全版本操作系統的遠程桌面協議服務（埠3389）。據估計，約有超過24，000個系統受到EsteemAudit漏洞威脅，所以，微軟公司不得不為不再受支持的Microsoft Windows Server 2003 / Windows XP系統發布了安全更新程序，以解決影子經紀人泄漏的漏洞問題。

顯然，遠程桌面協議攻擊已經成為惡意軟體分發的特權攻擊向量，尤其是勒索軟體。目前，已經有很多惡意軟體開始使用遠程桌面協議（CrySiS、 Dharma以及SamSam）作為攻擊源來感染系統，EsteemAudit漏洞使得這些威脅變得更具攻擊性和危險性。

暴露RDP端點分布

根據Rapid7 的研究報告顯示，大多數暴露的遠程桌面協議端點（28.8％，或超過 110萬）位於美國，中國緊隨其後（17.7％，約 73 萬），接著是德國（4.3％，約 177,000）、巴西（3.3％，約 137,000）以及韓國（3.0％，約 123,000）。

此外，安全專家還注意到，與暴露的遠程桌面協議端點相關聯的 IP 地址組織，大多數屬於亞馬遜（318，234個，約佔7.73％），其次是阿里巴巴（280，082個，約佔6.8％）、微軟（204，138個，約佔4.96％）、中國電信（177，749個，約佔4.32％）以及Comcast（85，414個，約佔2.07%）等。

一般情況下，系統不會主動開啟RDP功能，而且在2012年微軟提供了網路等級認證功能（Network Level Authentication，NLA），用戶建立遠程桌面連接時，系統會要求認證，只有用戶認證成功才能順利啟動該程序，增加了黑客利用RDP終端入侵電腦的難度。

然而，研究人員分析發現，絕大多數（83%）的用戶使用RDP時會採用SSL/TLS加密傳輸方式，甚至也會啟動「認證安全性服務提供者」（CredSSP）功能來認證，但仍有15%的用戶堅持僅使用易遭到中間人攻擊的「標準遠程桌面協議安全」（Standard RDP Security）功能。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！