RDP là gì ?
RDP, hay Remote Desktop Protocol, là một trong những giao thức chính được sử dụng cho các phiên remote desktop. Đó là khi nhân viên truy cập máy tính để bàn ở văn phòng của họ từ một thiết bị khác. RDP được bao gồm trong hầu hết các hệ điều hành Windows và có thể được sử dụng với cả máy Mac. Nhiều công ty dựa vào RDP để cho phép nhân viên của họ làm việc tại nhà.
RDP (Remote Desktop Protocol) là một trong những giao thức chính được sử dụng cho các phiên remote desktop
Các lỗ hổng bảo mật RDP chính là gì?
Lỗ hổng là lỗi trong cách một phần mềm được xây dựng, cho phép những kẻ tấn công truy cập trái phép. Hãy coi đây như một chốt cửa được lắp đặt không đúng cách trên cửa trước của một ngôi nhà, cho phép bọn tội phạm đột nhập.
Đây là những lỗ hổng quan trọng nhất trong RDP:
- Thông tin đăng nhập của người dùng yếu
Hầu hết các máy tính để bàn đều được bảo vệ bằng mật khẩu và người dùng thường có thể đặt mật khẩu này thành bất cứ thứ gì họ muốn. Vấn đề là người dùng cũng thường sử dụng cùng một mật khẩu đó cho đăng nhập từ xa RDP. Các công ty thường không quản lý những mật khẩu này để đảm bảo sức mạnh của chúng, và họ thường để ngỏ những kết nối từ xa này trước những cuộc tấn công Brute Force hoặc Credential Stuffing.
- Tổng hợp cách tạo mật khẩu mạnh và quản lý mật khẩu an toàn nhất
- Truy cập cổng không hạn chế
Các kết nối RDP hầu như luôn diễn ra ở cổng 3389*. Những kẻ tấn công có thể cho rằng đây là cổng đang được sử dụng và nhắm mục tiêu nó để thực hiện các cuộc tấn công.
* Trong mạng, cổng là một vị trí hợp lý, dựa trên phần mềm, được chỉ định cho một số loại kết nối nhất định. Việc gán các tiến trình khác nhau cho những cổng khác nhau giúp máy tính theo dõi các tiến trình đó. Ví dụ, lưu lượng HTTP luôn đi đến cổng 80, trong khi lưu lượng HTTPS đi đến cổng 443.
Một số cách để giải quyết những lỗ hổng RDP này là gì?
- Để giảm sự phổ biến của thông tin đăng nhập yếu:
Đăng nhập một lần (SSO)
Nhiều công ty đã sử dụng dịch vụ SSO để quản lý thông tin đăng nhập của người dùng cho nhiều ứng dụng khác nhau. SSO cung cấp cho các công ty một cách dễ dàng hơn để thực thi việc sử dụng mật khẩu mạnh, cũng như triển khai các biện pháp an toàn hơn như xác thực hai yếu tố (2FA). Có thể chuyển quyền truy cập từ xa RDP ra sau quá trình SSO để khắc phục lỗ hổng đăng nhập của người dùng được mô tả ở trên.
Quản lý và thực thi mật khẩu
Đối với một số công ty, việc chuyển quyền truy cập từ xa RDP ra sau quá trình SSO có thể không phải là một lựa chọn. Ở mức tối thiểu, những công ty này nên yêu cầu nhân viên reset lại mật khẩu máy tính để bàn của họ thành một thứ gì đó mạnh hơn.
- Để bảo vệ tránh khỏi các cuộc tấn công dựa trên cổng:
Khóa cổng 3389
Phần mềm tunneling bảo mật có thể giúp ngăn những kẻ tấn công gửi yêu cầu đến cổng 3389. Với một tunneling bảo mật, mọi yêu cầu không đi qua tunnel sẽ bị chặn.
Quy tắc tường lửa
Có thể cấu hình tường lửa công ty theo cách thủ công để không có lưu lượng truy cập vào cổng 3389 nào có thể đi qua, ngoại trừ lưu lượng truy cập từ các dải địa chỉ IP được cho phép (ví dụ, các thiết bị được biết là thuộc về nhân viên).
Tuy nhiên, phương pháp này tốn rất nhiều công sức thủ công và vẫn dễ bị tấn công nếu những kẻ tấn công chiếm đoạt địa chỉ IP được cho phép hoặc thiết bị của nhân viên bị xâm phạm. Ngoài ra, thường rất khó xác định và cho phép liệt kê trước tất cả các thiết bị của nhân viên, dẫn đến những yêu cầu IT liên tục từ các nhân viên bị chặn.
RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức
RDP có những lỗ hổng nào khác?
RDP có các lỗ hổng kỹ thuật khác đã được vá về mặt kỹ thuật, nhưng vẫn còn nghiêm trọng nếu không được kiểm soát.
Một trong những lỗ hổng nghiêm trọng nhất trong RDP được gọi là “BlueKeep”. BlueKeep (được phân loại chính thức là CVE-2019-0708) là một lỗ hổng cho phép kẻ tấn công thực thi bất kỳ mã nào chúng muốn trên máy tính, nếu chúng gửi một yêu cầu được tạo đặc biệt đến đúng cổng (thường là 3389). BlueKeep có khả năng lây lan worm, có nghĩa là nó có thể lây lan đến tất cả các máy tính trong mạng mà không cần bất kỳ hành động nào từ người dùng.
Cách bảo vệ tốt nhất chống lại lỗ hổng này là vô hiệu hóa RDP trừ khi nó cần thiết. Chặn cổng 3389 bằng cách sử dụng tường lửa cũng có thể hữu ích. Cuối cùng, Microsoft đã phát hành bản vá sửa lỗ hổng này vào năm 2019 và điều cần thiết là quản trị viên hệ thống phải cài đặt bản vá này.
Giống như bất kỳ chương trình hoặc giao thức nào khác, RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức. Các nhà cung cấp thường vá những lỗ hổng trong mỗi phiên bản phần mềm mới mà họ phát hành.