Le protocole d’accès à distance RDP est devenu un outil important pour l’administration des réseaux d’entreprise à l’ère du travail hybride. Cependant, un endpoint RDP non sécurisé constitue un vecteur qui offre aux cybercriminels des avantages considérables lorsqu’ils tentent d’attaquer vos systèmes. Quelles sont les activités malveillantes que les pirates peuvent réaliser via RDP, et comment les en empêcher ?
Qu’est-ce qu’un endpoint RDP ?
Un appareil sous Windows qui utilise le logiciel RDP (protocole d’accès à distance) afin d’être accessible via un réseau tel qu’lnternet. Le RDP permet d’accéder à distance à des postes Windows d’une entreprise, comme si leurs claviers et leurs écrans se trouvaient sur votre bureau. Il aide à gérer ou dépanner les appareils des collaborateurs, fournir des ressources centralisées telles que des ordinateurs fixes pour traiter des charges de travail lourdes, des applications, des bases de données et bien d’autres choses.
Le nombre d’incidents impliquant des endpoints RDP est en hausse depuis quelques années
Les attaquants profitent plus fréquemment de la connexion à des serveurs Windows depuis Internet via RDP, notamment en s’identifiant en tant qu’administrateur, en exploitant des vulnérabilités (telles que BlueKeep CVE-2019-0708), en effectuant des tentatives d’hameçonnage, des attaques de type « credential stuffing » et « password spraying », des attaques par force brute, ou en tirant parti d’un accès mal configuré aux systèmes internes. Une fois entrés, les attaquants essaient généralement de déterminer à quoi sert le serveur, qui l’utilise et quand. Des actions malveillantes suivent généralement.
Les activités malveillantes les plus courantes réalisées via RDP
- Installation d’un ransomware
- Installation d’extracteurs de cryptomonnaies (comme Monero)
- Installation d’un logiciel de contrôle à distance supplémentaire pour maintenir l’accès aux serveurs compromis au cas où les activités RDP seraient découvertes
L’utilisation d’identifiants faibles est la principale vulnérabilité qui conduit à une attaque via RDP. De ce fait, le RDP est exposé à des attaques par force brute et de type « credential stuffing ». L’accès non restreint aux ports représente un autre problème. La plupart des connexions RDP utilisent le port par défaut 3389, ce qui ouvre une voie aux attaquants.
L’utilisation d’un système d’exploitation non pris en charge ou l’absence de mises à jour conduit à des exploitations de vulnérabilités. Par exemple, BlueKeep est une vulnérabilité de sécurité qui a largement affecté Windows 2000, Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2 en mai 2019, et qui continue encore aujourd’hui d’avoir un impact sur les infrastructures informatiques. Elle permet à des pirates d’exécuter du code arbitrairement sur les ordinateurs des victimes. Même si les pirates peuvent également présenter une menace généralisée en utilisant des outils automatisés pour les attaques, la vulnérabilité BlueKeep peut être utilisée pour la création d’un ver. Cela signifie qu’une attaque peut se propager automatiquement sur les réseaux sans nécessiter d’intervention de la part des utilisateurs.
Il est facile pour des attaquants de trouver des systèmes accessibles depuis le monde extérieur, et de les utiliser à des fins malveillantes. Pour quelles raisons ? Les systèmes RDP vulnérables sont faciles à trouver. Ils peuvent être identifiés par des moteurs de recherche spécialisés tels que Shodan, qui parcourent constamment Internet à la recherche d’appareils connectés pour en collecter des informations. En août 2021, Shodan signalait l’existence de plus de 4 millions de systèmes sur Internet avec le port RDP 3389 ouvert.
Des pirates peuvent également facilement prendre la main sur des systèmes RDP mal configurés. Les outils et les techniques d’escalade de privilèges et d’obtention de droits d’administration sur des systèmes RDP compromis sont largement connus et disponibles.
Utilisation du RDP en toute sécurité
Si vous souhaitez utiliser ce protocole d’accès à distance en toute sécurité, limitez l’accès du RDP à des rôles et des systèmes spécifiques qui sont configurés de manière sûre, corrigés rapidement, surveillés en permanence, dotés d’un pare-feu approprié et sauvegardés régulièrement. Assurez-vous que tout le monde respecte les règles de l’entreprise en matière d’utilisation de RDP, et faites l’inventaire de vos ressources connectées à Internet. Il n’est pas rare qu’une entreprise soit attaquée via une ressource connectée à Internet dont le personnel de sécurité n’avait pas connaissance avant l’attaque. C’est pourquoi vous devez mettre en place des processus pour vous assurer que cela n’arrive pas à votre entreprise.
Lorsque vous avez fini de dresser l’inventaire des ressources connectées à Internet, précisez celles dont l’accès à distance est activé, puis décidez si cet accès est nécessaire. Si c’est le cas, suivez les règles ci-dessous.
Comment réduire les chances de réussite d’une attaque contre votre entreprise via RDP ?
1) Désactivez le protocole d’accès à distance s’il n’est pas utilisé
2) Exigez des mots de passe forts pour tous les comptes qui peuvent être connectés via RDP. L’authentification multifacteur (MFA) est indispensable.
3) Modifiez le numéro du port RDP par défaut afin que les outils d’analyse de port ne le trouvent pas dans la liste des ports RDP ouverts.
4) Définissez des règles de pare-feu afin que seules des adresses IP spécifiques puissent avoir accès via RDP.
5) Assurez-vous que le personnel utilise la dernière version du système d’exploitation que vous avez choisi, et veillez à ce qu’elle soit régulièrement mise à jour.
6) Installez un VPN pour encapsuler la connexion RDP, car le chiffrement fourni par le VPN est renforcé.
7) Remplacez les ordinateurs non sécurisés, par exemple ceux dont le système d’exploitation ne peut être mis à jour.
8) Activez le blocage des exploitations de vulnérabilités dans les logiciels de sécurité des endpoints.