Фирма интернет-разведки GreyNoise сообщает, что она зафиксировала значительный рост активности сканирования, включающий почти 1,971 IP-адресов, которые исследовали порталы аутентификации Microsoft Remote Desktop Web Access и RDP Web Client одновременно, что указывает на координированную кампанию разведки.
Исследователи утверждают, что это значительное изменение активности, так как компания обычно видит только 3–5 IP-адресов в день, выполняющих этот тип сканирования.
GreyNoise сообщает, что волна сканирований тестирует временные уязвимости, которые могут быть использованы для проверки имен пользователей, создавая условия для будущих атак на основе учетных данных, таких как атаки с подбором паролей или распыление паролей.
Временные уязвимости возникают, когда время ответа системы или запрос непреднамеренно раскрывает конфиденциальную информацию. В данном случае небольшая разница во времени, с которой RDP отвечает на попытки входа с действительным пользователем по сравнению с недействительным, может позволить атакующим сделать вывод о правильности имени пользователя.
GreyNoise также сообщает, что 1,851 из них имели одинаковую подпись клиента, и из них примерно 92% уже были помечены как вредоносные. IP-адреса в основном происходят из Бразилии и целятся в IP-адреса в Соединенных Штатах, что указывает на то, что это может быть одна ботсеть или набор инструментов, выполняющий сканирование.
Unique IP addresses performng Microsoft RDP web client login enumeration
Исследователи утверждают, что время атаки совпадает с сезоном возвращения в школу в США, когда школы и университеты могут снова подключать свои системы RDP.
"Время может не быть случайным. 21 августа находится в рамках американского школьного окна, когда университеты и школы K-12 включают лаборатории с поддержкой RDP и удаленный доступ и подключают тысячи новых учетных записей," объясняет Noah Stone из GreyNoise.
"Эти среды часто используют предсказуемые форматы имен пользователей (идентификаторы студентов, имя.фамилия), что делает перечисление более эффективным. В сочетании с ограничениями бюджета и приоритетом доступности в период записи количество уязвимостей может резко возрасти."
Однако рост сканирования также может указывать на то, что была найдена новая уязвимость, так как GreyNoise ранее обнаруживала, что всплески вредоносного трафика обычно предшествуют раскрытию новых уязвимостей.
Администраторы Windows, управляющие порталами RDP и открытыми устройствами, должны убедиться, что их учетные записи надежно защищены с помощью многофакторной аутентификации, и, если возможно, разместить их за VPN.
- Source: https://www.bleepingcomputer[.]com/news/security/surge-in-coordinated-scans-targets-microsoft-rdp-auth-servers/
Исследователи утверждают, что это значительное изменение активности, так как компания обычно видит только 3–5 IP-адресов в день, выполняющих этот тип сканирования.
GreyNoise сообщает, что волна сканирований тестирует временные уязвимости, которые могут быть использованы для проверки имен пользователей, создавая условия для будущих атак на основе учетных данных, таких как атаки с подбором паролей или распыление паролей.
Временные уязвимости возникают, когда время ответа системы или запрос непреднамеренно раскрывает конфиденциальную информацию. В данном случае небольшая разница во времени, с которой RDP отвечает на попытки входа с действительным пользователем по сравнению с недействительным, может позволить атакующим сделать вывод о правильности имени пользователя.
GreyNoise также сообщает, что 1,851 из них имели одинаковую подпись клиента, и из них примерно 92% уже были помечены как вредоносные. IP-адреса в основном происходят из Бразилии и целятся в IP-адреса в Соединенных Штатах, что указывает на то, что это может быть одна ботсеть или набор инструментов, выполняющий сканирование.
Unique IP addresses performng Microsoft RDP web client login enumeration
Исследователи утверждают, что время атаки совпадает с сезоном возвращения в школу в США, когда школы и университеты могут снова подключать свои системы RDP.
"Время может не быть случайным. 21 августа находится в рамках американского школьного окна, когда университеты и школы K-12 включают лаборатории с поддержкой RDP и удаленный доступ и подключают тысячи новых учетных записей," объясняет Noah Stone из GreyNoise.
"Эти среды часто используют предсказуемые форматы имен пользователей (идентификаторы студентов, имя.фамилия), что делает перечисление более эффективным. В сочетании с ограничениями бюджета и приоритетом доступности в период записи количество уязвимостей может резко возрасти."
Однако рост сканирования также может указывать на то, что была найдена новая уязвимость, так как GreyNoise ранее обнаруживала, что всплески вредоносного трафика обычно предшествуют раскрытию новых уязвимостей.
Администраторы Windows, управляющие порталами RDP и открытыми устройствами, должны убедиться, что их учетные записи надежно защищены с помощью многофакторной аутентификации, и, если возможно, разместить их за VPN.
- Source: https://www.bleepingcomputer[.]com/news/security/surge-in-coordinated-scans-targets-microsoft-rdp-auth-servers/