Il y a deux mois, le nombre de personnes travaillant à domicile a explosé. Le travail à distance est désormais devenu la nouvelle norme pour de nombreuses entreprises dans le monde entier. Bien que ce changement ait été provoqué par  la pandémie de Covid-19, pour de nombreuses organisations, le travail à distance est susceptible de rester un élément permanent de leur culture organisationnelle.

Pour faciliter le télétravail, de nombreuses entreprises s’appuient sur des connexions de bureau à distance. Les employés peuvent utiliser ces connexions pour accéder au bureau de leur station de travail depuis n’importe quel endroit ; ils peuvent ainsi travailler comme s’ils étaient au bureau. De telles connexions s’accompagnent toutefois de risques serieux pour la sécurité.

Attaques par force brute contre le protocole RDP

L’un des moyens les plus courants de se connecter à des bureaux distants est le RDP (Remote Desktop Protocol), un protocole propriétaire de Microsoft qui est disponible dans toutes les versions de Windows à partir de XP.

Ces dernières semaines, le nombre d’attaques par force brute sur les connexions RDP              a explosé. Il s’agit d’attaques automatisées dont le but est de s’emparer de terminaux d’entreprises et d’infiltrer les réseaux. Si un cybercriminel parvenait à prendre pied de cette manière, il pourrait faire tout ce qu’un employé légitime peut faire, y compris accéder à des données confidentielles et utiliser le courrier électronique de l’entreprise. L’utilisation illégitime des adresses électroniques d’entreprise pourrait, en outre, faciliter les attaques par harponnage (Spear phishing). Cette augmentation soudaine des attaques est sans doute liée au nombre sans précédent de personnes travaillant à domicile.

Même avant la situation actuelle, ce type de cyberattaque par RDP était extrêmement courant : il y avait environ 150 000 tentatives par jour. Cependant, au début du mois de mars, lorsque les mesures de confinement plus strictes sont entrées en vigueur, près d’un million de tentatives d’attaques par force brute sur des connexions RDP ont été enregistrées chaque jour.

TrickBot facilite les attaques RDP

Ce n’est pas une coïncidence si, en mars, le tristement célèbre Trojan TrickBot a ajouté un nouveau module -rdpScanDll- qui est utilisé pour effectuer des attaques par force brute sur les connexions RDP. Ce module a été utilisé dans des attaques contre plusieurs cibles, notamment des organisations des secteurs de l’éducation et des services financiers.

Les dangers de ce protocole

Ce pic d’attaques RDP n’est pas le seul problème de sécurité que ce protocole a connu ces dernières années. En mai 2019, une grave vulnérabilité appelée BlueKeep a été découverte dans les anciennes versions du protocole. Un mois seulement après sa découverte,  une campagne active a été repérée exploitant cette vulnérabilité. Puis, en août de la même année,  quatre nouvelles vulnérabilités ont été découvertes dans le protocole.

Protégez votre connexion RDP

Les connexions RDP sont un vecteur d’attaque idéal pour les cybercriminels : Une connexion RDP mal protégée peut leur permettre d’accéder à l’ensemble du système de l’entreprise. C’est pourquoi la protection de ces connexions doit être une priorité pour toute entreprise qui les utilise pour travailler en ce moment.

Pour protéger les terminaux contre les attaques par force brute, il est important d’utiliser un mot de passe sécurisé et de ne pas recycler les anciens mots de passe. Ce dernier point est particulièrement important lorsqu’il s’agit de mettre un terme aux attaques par avalanche d’identifiants (credential stuffing attacks), qui tentent d’accéder aux systèmes cibles en utilisant des mots de passe recueillis lors de violations de données, et qui sont similaires aux attaques par force brute.

La suppression de ces connexions n’est pas une option pour l’instant. Cela signifie que les entreprises doivent être en mesure de superviser absolument toute l’activité sur les terminaux de l’entreprise afin de pouvoir repérer toute activité suspecte de RDP. Panda Adaptive Defense surveille en permanence l’activité de chaque processus du système. En plus d’arrêter tout processus inconnu, il surveille aussi le comportement des processus connus de façon contextuelle. De cette façon, il peut arrêter toute utilisation malveillante d’outils légitimes.

Les connexions RDP rendent le travail à distance beaucoup plus facile pour un grand nombre d’entreprises. Assurez-vous qu’elles sont correctement protégées avec Panda Adaptive Defense.