Az RDP szerverek új kedvencei: itt a botnetek iskolakezdése

Majdnem 1971 IP-cím indított egyszerre célzott támadást a Microsoft Remote Desktop Web Access (Távoli Asztal Webes hozzáférés) és az RDP Web Client (RDP webes kliens) beléptető portáljai ellen. Ez drámai ugrás a korábban megszokott, napi 35 IP-címhez képest. A támadók időzítési hibákat keresnek: ha bármilyen apró különbség van a bejelentkezés válaszidejében érvényes és érvénytelen felhasználónév esetén, ebből ki lehet következtetni, hogy létező felhasználónévvel próbálkoznak-e. Ez mérnöki pontossággal segíti előkészíteni a jövőbeli brute force vagy password spray támadásokat, amelyek célja a jelszólopás.

Botnetek, iskolakezdés és az amerikai célpont

Az IP-címek óriási része Brazíliából indított támadást, és az Egyesült Államokra koncentrált, valószínűleg egyetlen botnet vagy eszközcsomag segítségével. Az akció időzítése sem véletlen: az USA-ban augusztus 21-én kezdődik az iskolai félév, amikor az egyetemek és középiskolák rengeteg új RDP-alapú rendszert és felhasználói fiókot aktiválnak. Az ilyen helyeken gyakran kiszámíthatóak a felhasználónevek (például diákazonosítók, vagy vezetéknév.keresztnév), ami megkönnyíti a támadást. A költségvetési korlátok miatt ráadásul még kevesebb a védelem.

Jelszavak és védekezés

A tapasztalatok szerint a környezetek 46%-ában már sikerült jelszót feltörni – ez egy év alatt csaknem duplájára emelkedett. A rendszergazdáknak érdemes többfaktoros azonosítást beállítani az RDP portálokon, és ahol lehetséges, ezeket VPN mögé rejteni. A szokatlanul nagy hullámú szkennelés új sérülékenységre is utalhat, ezért időszerű most ellenőrizni minden védelmi beállítást.

2025, adrienne, www.bleepingcomputer.com alapján