Cybersécurité, Les infections par le protocole RDP sont une sérieuse menace pour les PME. Le Remote Desktop Protocol (RDP), en français protocole de bureau à distance, est un protocole propriétaire développé par Microsoft permettant l’accès à distance d’une machine à une autre.
Il s’agit d’un outil puissant, très pratique et également gratuit sur lequel bon nombre d’entreprises s’appuient actuellement pour maintenir la continuité de leurs activités tout en respectant la distanciation sociale. Cependant, le RDP est récemment devenu la cible privilégiée des attaques de ransomwares, ce qui expose de nombreuses PME à des risques importants.
Pour vous donner une idée de l’ampleur du problème, selon une étude faite par Palo Alto Networks, une entreprise américaine qui construit du matériel de télécommunications, en 2020, au niveau mondial la moitié des attaques de ransomwares auraient été perpétrées en utilisant la compromission RDP comme vecteur d’attaque initial.
Cybersécurité, Les infections par le protocole RDP, une sérieuse menace pour les pme ! Aujourd’hui plus que jamais, les chefs d’entreprise devront donc penser à réévaluer l’utilisation du RDP dans leur organisation afin de se protéger contre les attaques de ransomwares et autres menaces qui ciblent les ports RDP.
Sommaires
Qu’est-ce que le RDP (Remote Destop Protocole) ?
On peut aussi considérer le RDP comme une fonctionnalité du système d’exploitation Microsoft Windows permettant l’utilisation à distance d’un ordinateur ou serveur Windows via un réseau ou une connexion Internet. Il est intégré à la plupart des versions client (Windows XP et versions ultérieures) et serveur (Windows 2000 et versions ultérieures) du système d’exploitation.
RDP est basé sur le protocole UIT-T T.share (aussi connu sous le nom T.128), qui est un protocole prenant en charge le partage d’applications multipoint. Pour information, T.128 possède un style de partage d’application qui n’exige pas et ne prévoit pas la synchronisation de plusieurs instances de la même application informatique s’exécutant sur plusieurs sites. Au lieu de cela, il rend possible la visualisation et le contrôle à distance d’une seule instance d’application pour donner l’illusion que l’application s’exécute localement.
Microsoft a introduit le protocole RDP dans ses offres pour la première fois en 1996. Et déjà à l’époque, des cybercriminels ont tenté d’accéder aux ordinateurs des gens en utilisant ce protocole. Cela sous-entend que les infections par le RDP ne sont donc pas un phénomène vraiment nouveau. Toutefois, ces dernières années, une tendance croissante et inquiétante de cette forme de cyberattaque a été observée.
De nombreuses attaques RDP signalées ces dernières années
Considéré comme performant et compétitif face à la concurrence comme TeamViewer, AnyDesk ou encore NoMachine, RDP fait aujourd’hui partie des protocoles d’accès à distance les plus utilisés par les entreprises. Et avec la hausse du télétravail, les attaques RDP ont également augmenté.
En cours de l’année 2020 par exemple, l’année où le travail s’est imposé comme la norme pour la majorité des entreprises, la société de cybersécurité ESET aurait identifié 29 milliards de tentatives d’attaques RDP, soit une augmentation 768 % par rapport à l’année précédente.
En 2021, les attaques RDP persistent toujours. Dans certains pays, elles auraient même triplé par rapport à 2020, tandis que dans d’autres, elles ont été multipliées par 10, avance Kaspersky, une société de cybersécurité qui s’intéresse de près aussi aux attaques RPD.
Pour trouver leurs victimes, les attaquants commencent d’abord par scanner l’intégralité d’Internet grâce à des outils conçus spécialement pour cela afin de trouver des ports RDP ouverts, mal configurés ou bien présentant des vulnérabilités. Après, ils déploient ensuite des rançongiciels pour infecter les systèmes RDP pris pour cibles.
Les souches de rançongiciels les plus connues pour avoir fait des ravages ces dernières années sont ACCDFISA, SamSam, CrySiS (alias Dharma) ou encore Morto. Avast Threat Labs a aussi récemment découvert de nouvelles variantes du nom de CrySiS Brrr, Gamma et Monro.
Cela dit, il convient quand même de noter que toutes les attaques RPD n’impliquent pas forcément des rançongiciels ; la majeure partie d’entre eux utiliseraient aussi la méthode de l’attaque par force brute. Il s’agit d’une méthode consistant à trouver un mot de passe en testant une à une toutes les combinaisons possibles. Pour se protéger de ce type de cyberattaque, l’authentification à double facteur ainsi que l’utilisation de mots de passe forts sont fortement recommandées.
Les principales failles de sécurité dans les systèmes RDP
Il est peu probable que les attaques RDP s’atténuent à l’avenir. Au contraire, elles vont s’intensifier. C’est une bonne raison pour s’intéresser aux principales failles de sécurité présentes dans les systèmes RDP sur lesquelles il faut prêter attention :
1- Identifiants de connexion utilisateur faibles
En France, plus de 90 % utiliseraient des mots de passe faibles. Or, malheureusement, les informations d’identification de connexion utilisateur faibles sont un moyen facile pour les attaquants d’accéder à votre réseau pour déployer des logiciels malveillants qui volent ou endommagent vos données sensibles.
Sachez également que certains rançongiciels utilisés lors des attaques RDP sont programmés pour rester cachés et inactifs jusqu’à ce qu’ils accèdent à d’autres ordinateurs du réseau. Donc, en négligeant la sécurité de votre système, vous mettez également en danger tous les autres ordinateurs connectés à celui que vous utilisez.
Pour contrer les logiciels malveillants, outre l’utilisation de mot de passe fort, vous devez aussi désactiver le compte invité par défaut, verrouiller un compte temporairement en cas d’échecs d’authentification, limiter le nombre de connexions simultanées et pour finir n’autoriser qu’une session par utilisateur
2- Ports RDP non protégés
Les ports Remote Desktop Protocol, principalement le port 3389, sont fréquemment exposés à diverses cybermenaces. C’est souvent à ces endroits que les attaques se concentrent.
Pour protéger vos ports RDP, les experts recommandent de bien paramétrer le pare-feu afin de restreindre les tentatives de connexions. N’autorisez que des adresses IP identifiées, utilisez un VPN et n’autorisez que des connexions via réseau local. Par ailleurs, verrouillez également les comptes dont les tentatives de connexion ont échoué en trop grand nombre. Et enfin, très important mettez en place une méthode de port-knocking pour ne pas laisser le port 3389 ouvert à tous.
3- Les vulnérabilités dans les implémentations RDP
Une vulnérabilité, à titre d’information, fait référence à une lacune ou une erreur dans la manière dont un logiciel est construit, permettant aux attaquants d’obtenir un accès non autorisé à votre réseau ou à vos systèmes.
Le problème avec le protocole RDP est que constamment de nouvelles vulnérabilités sont découvertes en premier par les utilisateurs et accessoirement par les hackeurs, mais très rarement par Microsoft. Les plus récentes vulnérabilités les plus critiques dans les implémentations RDP sont CVE-2018-20179 [CVSS v3 9.8], CVE-2018-20181 [CVSS v3 9.8], CVE-2018-8795 [CVSS v3 9.8], CVE-2018-8787 [CVSS v3 9.8], CVE-2018-8796 [CVSS v3 7.5], CVE- 2019-0708 [BlueKeep]…
Morto, le ver le plus détecté dans le monde de l’industrie
Signalé pour la toute première fois en 2011, Morto représenterait aujourd’hui 34 % des infections dans le monde en 2020 dans le secteur manufacturier, selon le 2021 Global Threat Intelligence Report de NTT, ce qui fait de Morto le malware le plus détecté dans cette industrie.
Il s’agit d’un ver Internet qui passe d’un ordinateur à un autre via Microsoft Remote Desktop Protocol (RDP). Une fois dans un réseau, Morto se propage en infectant des fichiers exécutables, ce qui lui a valu le nom d’infecteur de fichiers.
Sa présence dans un ordinateur peut être indiqué par les modifications système suivantes :
- La présence du fichier suivant : <dossier système>\wmicuclt.exe
- La présence du mutex suivant : « Global\_PPIftSvc »
- Ou encore la présence du service en cours d’exécution suivant : « Service de connexion d’accès à distance »
Selon Microsoft, ce ver encore actif aujourd’hui, a la particularité de pouvoir être contrôlé et mis à jour à distance, de sorte que les hôtes infectés peuvent être invités à exécuter des attaques par déni de service ou d’autres fonctions.
Pour se protéger de Morto, vous devez notamment activer Microsoft Defender Antivirus. Celui-ci peut le détecter et le supprimer assez facilement. Assurez-vous également d’appliquer les mesures de sécurité fournies plus haut comme utiliser un mot de passe fort, sécuriser vos ports RDP, utiliser un VPN et bien d’autres encore.
Plateforme BrightCloud Threat Intelligence, lutter contre les infections par le RDP
Puisqu’elles sont bien réelles et particulièrement importantes, commencez dès à présent à vous protéger de manière proactive contre des menaces RDP et autres en intégrant dans votre système la solutoin BrightCloud Threat Intelligence.
Il s’agit d’une solution logicielle de cybersécurité particulièrement efficace pour gérer les menaces RDP, grâce notamment à ses fonctionnalités de détection de malware, de classification et réputation Web, de réputation IP, anti-hameçonnage en temps réel, de détection de logiciels malveillants en streaming, de réputation de fichier ou encore de SDK de sécurité mobile.
Régulièrement mise à jour, la platforme BrightCloud Streaming peut identifier et intercepter n’importe quel programme et fichier malveillant. Elle utilise pour cela une analyse octet par octet, pour ne rater aucune menace éventuelle et avec une vitesse de recherche jusqu’à 500 fois plus rapide que les logiciels de détection de malware classiques.
Si la plateforme BrightCloud Threat Intelligence est particulièrement efficace contre les menaces RDP, c’est qu’elle est intégrée aux appliances de réseau, rendant possible la détection en temps réel de tout malware en transit au niveau des portes du réseau pour ensuite les bloquer.
Auteur Antonio Rodriguez, Directeur Clever Technologies
Autres articles
