27/06/2022

Các rủi ro bảo mật của RDP

Các rủi ro bảo mật của RDP

RDP là gì?

RDP, hoặc Giao thức Máy tính Từ xa, là một trong những giao thức chính được sử dụng cho các phiên máy tính từ xa. Đó là khi nhân viên truy cập máy tính để bàn văn phòng của họ từ một thiết bị khác. RDP được bao gồm trong hầu hết các hệ điều hành Windows và cũng có thể được sử dụng với máy Mac. Nhiều công ty dựa vào RDP để cho phép nhân viên của họ làm việc tại nhà.

RDP (Giao thức Máy tính Từ xa) là một trong những giao thức chính được sử dụng cho các phiên máy tính từ xaRDP (Giao thức Máy tính Từ xa) là một trong những giao thức chính được sử dụng cho các phiên máy tính từ xa

Các lỗ hổng bảo mật RDP chính là gì?

Lỗ hổng bảo mật là một lỗi trong cách một phần mềm được xây dựng cho phép kẻ tấn công truy cập trái phép. Hãy coi đây là một chiếc chốt cài đặt không đúng cách trên cửa trước của một ngôi nhà, cho phép bọn tội phạm đột nhập.

Đây là những lỗ hổng quan trọng nhất trong RDP:

1. Thông tin đăng nhập người dùng yếu

Hầu hết các máy tính để bàn đều được bảo vệ bằng mật khẩu và người dùng thường có thể đặt mật khẩu này thành bất cứ thứ gì họ muốn. Vấn đề là người dùng cũng thường sử dụng cùng một mật khẩu đó để đăng nhập từ xa RDP. Các công ty thường không quản lý những mật khẩu này để đảm bảo sức mạnh của chúng và họ thường để ngỏ những kết nối từ xa này trước các cuộc tấn công Brute Force hoặc Credential Stuffing.

See also  Cách xóa một trang trong Google Tài liệu

2. Truy cập cổng không giới hạn

Các kết nối RDP hầu như luôn diễn ra trên cổng 3389 *. Những kẻ tấn công có thể cho rằng đây là cổng đang được sử dụng và nhắm vào nó để thực hiện các cuộc tấn công.

* Trong mạng, cổng là một vị trí logic, dựa trên phần mềm, được gán cho một số loại kết nối nhất định. Việc gán các quy trình khác nhau cho các cổng khác nhau giúp máy tính theo dõi các quy trình đó. Ví dụ: lưu lượng HTTP luôn đi đến cổng 80, trong khi lưu lượng HTTPS đi đến cổng 443.

Một số cách để giải quyết các lỗ hổng RDP này là gì?

Để giảm sự phổ biến của thông tin đăng nhập yếu:

Đăng nhập một lần (SSO)

Nhiều công ty đã sử dụng dịch vụ SSO để quản lý thông tin đăng nhập của người dùng cho các ứng dụng khác nhau. SSO cung cấp cho các công ty một cách dễ dàng hơn để thực thi việc sử dụng mật khẩu mạnh, cũng như triển khai các biện pháp an toàn hơn như xác thực hai yếu tố (2FA). Quyền truy cập từ xa RDP có thể được chuyển ra ngoài sau quá trình SSO để khắc phục lỗ hổng đăng nhập của người dùng được mô tả ở trên.

Quản lý và thực thi mật khẩu

Đối với một số công ty, việc chuyển quyền truy cập từ xa RDP ra sau quá trình SSO có thể không phải là một lựa chọn. Ở mức tối thiểu, các công ty này nên yêu cầu nhân viên đặt lại mật khẩu máy tính để bàn của họ thành một thứ gì đó mạnh hơn.

See also  Cách chuyển ảnh và video trên Facebook sang Google Photos

Để bảo vệ khỏi các cuộc tấn công dựa trên cổng:

Khóa cổng 3389

Phần mềm đào đường hầm an toàn có thể giúp ngăn những kẻ tấn công gửi yêu cầu đến cổng 3389. Với tính năng đào đường hầm an toàn, bất kỳ yêu cầu nào không đi qua đường hầm đều bị chặn.

Quy tắc tường lửa

Tường lửa của công ty có thể được cấu hình theo cách thủ công để không có lưu lượng nào trên cổng 3389 có thể đi qua, ngoại trừ lưu lượng từ các dải địa chỉ IP được phép (ví dụ: được biết là thuộc về nhân viên).

Tuy nhiên, phương pháp này cần nhiều thao tác thủ công và vẫn dễ bị tấn công nếu những kẻ tấn công chiếm đoạt địa chỉ IP được ủy quyền hoặc thiết bị của nhân viên bị xâm phạm. Ngoài ra, thường khó xác định và cho phép liệt kê trước tất cả các thiết bị của nhân viên, dẫn đến các yêu cầu CNTT liên tục từ nhân viên bị chặn.

RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức.RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức.

RDP có những lỗ hổng nào khác?

RDP có các lỗ hổng khác đã được vá về mặt kỹ thuật, nhưng vẫn nghiêm trọng nếu không được kiểm soát.

Một trong những lỗ hổng nghiêm trọng nhất trong RDP được gọi là “BlueKeep”. BlueKeep (được phân loại chính thức là CVE-2019-0708) là một lỗ hổng cho phép kẻ tấn công thực thi bất kỳ mã nào chúng muốn trên máy tính, nếu chúng gửi một yêu cầu được chế tạo đặc biệt đến đúng cổng (thường là 3389). BlueKeep có khả năng lây lan sâu, có nghĩa là nó có thể lây lan sang tất cả các máy tính trong mạng mà không cần bất kỳ hành động nào của người dùng.

See also  Hướng dẫn thay đổi mong muốn của bạn trực tuyến

Cách bảo vệ tốt nhất chống lại lỗ hổng này là tắt RDP trừ khi cần thiết. Chặn cổng 3389 bằng cách sử dụng tường lửa cũng có thể hữu ích. Cuối cùng, Microsoft đã phát hành một bản vá để sửa lỗ hổng này vào năm 2019 và điều cần thiết là các quản trị viên hệ thống phải cài đặt bản vá này.

Giống như bất kỳ chương trình hoặc giao thức nào khác, RDP cũng có một số lỗ hổng khác và hầu hết các lỗ hổng này có thể được loại bỏ bằng cách luôn sử dụng phiên bản mới nhất của giao thức. Các nhà cung cấp thường vá các lỗ hổng trong mỗi phiên bản phần mềm mới mà họ phát hành.