Securitybedrijf meldt toename van scans gericht tegen Microsoft RDP-services

In dit artikel:

Securitybedrijf GreyNoise rapporteert een flinke toename van scans op Microsoft RD Web Access en RDP Web Client, diensten die via de browser toegang tot Remote Desktop bieden. Op 24 augustus zag het bedrijf meer dan 30.000 unieke ip-adressen die zogenaamde timing-flaws testten: aanvallers zoeken internet-blootgestelde RDP-webendpoints en meten tijdsverschillen in de inlogrespons om geldige gebruikersnamen te achterhalen.

Met die bevestigde gebruikersnamen proberen kwaadwillenden later toegang te krijgen via credential stuffing (gebruik van eerder gelekte e-mail/wachtwoord-combinaties), password spraying (veelgebruikte wachtwoorden tegen veel accounts om blokkering te ontwijken) of brute-force-aanvallen. GreyNoise merkt op dat de scans vooral op Amerikaanse systemen zijn gericht en verklaart de timing deels door de start van het schooljaar: scholen en universiteiten zetten RDP-systemen weer online en registreren veel nieuwe accounts met vaak voorspelbare naamformaten, wat het enumereren vergemakkelijkt.

De onderzoekers waarschuwen dat dergelijke pieken in scanactiviteit soms voorafgaan aan daadwerkelijke aanvallen of aan het ontdekken van nieuwe kwetsbaarheden in de getroffen platforms. Praktische tegenmaatregelen zijn onder meer het weghouden van RDP-webinterfaces van het publieke internet (bijv. via VPN), afdwingen van multi-factor-authenticatie, logging en rate limiting of lockouts, strengere wachtwoordregels en monitoring op verdachte inlogpogingen.