Cet article fait partie d’une série qui vise à informer les professionnels de la cybersécurité sur les leçons apprises par les victimes de violations. Chaque leçon comprendra des recommandations simples, dont beaucoup ne nécessitent pas l’achat d’outils par les entreprises.
Le RDP (également connu sous le nom de Terminal Services ou Remote Desktop Service) permet à une personne de se connecter de manière distante à un autre ordinateur, offrant ainsi la même expérience utilisateur que si cette dernière était physiquement présente.
Selon notre étude intitulée Active Adversary Playbook 2021, le RDP (Remote Desktop Protocol) intégré de Microsoft a été utilisé pour accéder aux entreprises depuis Internet dans 32% des attaques, ce qui en fait la méthode “numéro 1” utilisée pour l’accès initial.
Contrairement à d’autres outils d’accès à distance, le RDP ne nécessite généralement rien de plus qu’un nom d’utilisateur et un mot de passe et souvent le nom d’utilisateur est exposé (vous savez, pour vous faciliter la prochaine connexion). Le RDP (Remote Desktop Protocol) a même souffert de quelques vulnérabilités au fil du temps qui ont permis un accès sans aucun identifiant.
L’utilisation abusive du RDP a été répertoriée par différentes techniques MITRE ATT&CK, mais la principale serait T1133 (External Remote Services). D’autres techniques MITRE ATT&CK impliquant le RDP (Remote Desktop Protocol) incluent :
- T1563 : Piratage du RDP (RDP Hijacking).
- T1021 : Mouvement Latéral utilisant le RDP (Lateral Movement using RDP).
- T1572 : Tunneling via RDP (Tunneling over RDP).
- T1573 : Command & Control via RDP (Command and Control over RDP).
- T1078 : Utilisation de Comptes Valides avec RDP (Using Valid Accounts with RDP).
- T1049 : Découverte des Connexions Réseau du Système (System Network Connections Discovery).
- T1071 : Protocole de la Couche d’Application (Application Layer Protocol).
Une fois qu’un acteur malveillant s’est connecté avec succès à une session RDP, il n’est plus très loin de se retrouver littéralement devant le clavier et la souris, et même le centre de données le plus physiquement sécurisé au monde ne pourra vous aider.
Un RDP exposé à l’extérieur peut être protégé de manière simple : ne l’exposez pas, tout simplement. Ne transférez pas le port TCP:3389 de votre pare-feu vers quoi que ce soit. Et ne pensez pas que l’utilisation d’un autre port vous aidera … Je vous vois venir avec douze mille RDP sur le port 3388 !
Alors que le remède semble simple, Shodan.IO (un moteur de recherche dédié aux objets connectés) montre plus de 3,3 millions de ports RDP 3389 exposés dans le monde et faciles à trouver. Pourquoi cette tendance est-elle tellement populaire ? Autoriser l’accès au RDP (Remote Desktop Protocol) est un moyen rapide et facile de permettre à un individu d’assurer l’administration du système à distance, par exemple pour qu’un MSP (Managed Services Provider) puisse gérer le serveur d’un client, ou pour qu’un dentiste puisse accéder à son système professionnel depuis chez lui.
Si un accès à distance au RDP ou au Terminal Services est requis, il ne doit être rendu accessible que par le biais d’une connexion (avec authentification multifacteur) sécurisée via VPN (réseau privé virtuel) au réseau de l’entreprise ou via une passerelle d’accès à distance de type Zero-Trust (Confiance-Zéro).
Billet inspiré de Hindsight #2: Block public facing Remote Desktop Protocol (RDP), sur le Blog Sophos.