Beschrijving
Dit verslag identificeert hosts die over een Remote Desktop (RDP) Service beschikken en die toegankelijk zijn voor de wereld via het internet. Door een fout geconfigureerde RDP kunnen hackers toegang krijgen tot het bureaublad van een kwetsbare host . Het kan ook informatie over een target host worden verzameld, aangezien het SSL-certificaat dat door het RDP wordt gebruikt vaak de triviale hostnaam van het systeem bevat.
Beoordeling
De elementen in dit verslag zijn hosts die de Remote Desktop Protocol (RDP) Service open hebben staan naar het internet. De hostnaam en het certificaat die door deze dienst worden voorgesteld leiden tot een informatielek en de mogelijke identificatie van de eigenaar van de server. Daarnaast zijn er bekende kwetsbaarheden op dit protocol (BlueKeep en andere) en het wordt over het algemeen om veiligheidsredenen aanbevolen om uw RDP-diensten niet bloot te stellen aan het internet. De kans op ontdekking is groot. RDP is een belangrijk doelwit en hackers zijn actief op zoek naar doelwitten. De impact is groot. Van de vele blootgestelde RDP-poorten zal een deel kwetsbaar zijn.
Aanbevelingen
- Beperk indien mogelijk de toegang tot de RDP-servers tot de interne netwerken.
- Als toegang op afstand noodzakelijk is, gebruik dan een VPN, blokkeer accounts na meerdere mislukte aanmeldingspogingen, gebruik sterke wachtwoorden en gebruik waar mogelijk multifactorauthenticatie.
- Zorg ervoor dat de server altijd up-to-date is.
Referenties
Shadow Server – RDP Scanning Project
Microsoft - CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
CVE-2019- 0708 − Wikipedia – Bluekeep