Comment prévenir les attaques RDP (Remote Desktop Protocol) ?

Le protocole RDP repose sur les normes de la famille de protocoles T-120 et s'est imposé lorsque Microsoft a permis aux utilisateurs de se connecter à distance à d'autres ordinateurs et de les contrôler via des réseaux. Il sécurise les communications réseau et permet aux utilisateurs d'utiliser des ordinateurs de bureau à distance.

Cependant, le RDP n'est pas sans risques. Il peut être exploité pour obtenir un accès non autorisé à des appareils. Il y a eu 16 versions majeures de Windows depuis son lancement, ce qui signifie que les acteurs malveillants ont eu de nombreuses occasions de le détourner et d'obtenir un accès à distance aux serveurs et appareils Windows. Ce guide vous explique comment prévenir les attaques RDP et rester protégé.

Qu'est-ce qu'une attaque RDP (Remote Desktop Protocol) ?

Le RDP est un protocole de connexion développé par Microsoft qui permet aux utilisateurs de contrôler à distance des appareils de bureau (ou tout appareil équipé du système d'exploitation Microsoft). Les connexions de bureau à distance utilisent le port TCP (Transmission Control Protocol) 3389, qui est le hub principal des connexions à distance. Lorsque des acteurs malveillants compromettent ses canaux cryptés et en prennent le contrôle, on parle alors d'attaque par protocole de bureau à distance.

Voici un bref aperçu du fonctionnement des attaques RDP :

• Les attaquants commencent par scanner votre port RDP. Si des appareils actifs y sont connectés, ils serviront de point d'entrée à votre réseau. Les cybercriminels peuvent alors s'introduire de force dans le réseau via ce port et tirer parti du grand nombre de connexions RDP.
• Une fois la compromission initiale réussie, l'attaquant analysera l'ensemble des réseaux avec des sous-réseaux et intensifiera sa pénétration. Il pourra utiliser les connexions Windows Management Instrumentation™ pour plusieurs terminaux dans des environnements informatiques distribués ou des appels de procédure à distance et déclencher diverses attaques.
• Lorsqu'un appareil est compromis, l'attaquant en prend le contrôle. À l'aide de l'interface de commande et de contrôle, il envoie des commandes à d'autres terminaux et réseaux de l'infrastructure. Il peut utiliser la machine compromise pour créer de nouvelles connexions RDP vers des ports non standard.
• Lorsqu'un attaquant atteint ce stade, il peut se déplacer latéralement dans les réseaux et pénétrer plus profondément dans votre entreprise. Il peut obtenir des privilèges accrus, récupérer des données sensibles et s'approprier des ressources de grande valeur. À ce stade, il peut également échapper à la détection par les derniers dispositifs de sécurité de l'organisation.

Comment les cybercriminels exploitent-ils le RDP ?

Les attaques RDP visent spécifiquement les effectifs dispersés et les sous-traitants tiers. Le détournement de ressources informatiques intensives présente un intérêt considérable, et le RDP peut offrir une meilleure visibilité sur l'accès aux serveurs et aux sessions Windows.

Le RDP traditionnel n'était pas doté des mesures de sécurité et de confidentialité que nous connaissons aujourd'hui. Une combinaison nom d'utilisateur/mot de passe suffisait pour authentifier l'utilisateur. Le RDP ne disposait pas en standard d'une authentification multifactorielle intégrée.

Comment détecter un accès RDP non autorisé ?

Voici les mesures que vous pouvez prendre pour détecter un accès RDP non autorisé :

• Vérifiez vos journaux RDP pour rechercher des signes de comportements inhabituels ou d'activités malveillantes. Recherchez les tentatives de connexion infructueuses, les connexions fréquentes et les connexions provenant d'adresses IP non reconnues. Ces tentatives indiquent que le pirate a essayé d'accéder au système.
• Vous pouvez examiner et analyser le trafic réseau à l'aide d'outils de surveillance réseau tels que SentinelOne. Essayez de rechercher des anomalies réseau, des modèles de trafic inhabituels et vérifiez si de nombreuses données sont envoyées vers ou proviennent d'adresses IP spécifiques.
• Le port 3389 affichera des pics d'activité si quelque chose ne va pas. Enregistrez et surveillez votre trafic réseau, analysez-le pour identifier les tentatives d'accès indésirables.

Meilleures pratiques pour prévenir les attaques RDP (plus de 10)

Voici quelques-unes des pratiques à suivre dans l'ordre. Une fois que vous les aurez mises en œuvre, vous comprendrez comment prévenir les attaques RDP :

• Créez des mots de passe très forts en mélangeant des caractères spéciaux, des chiffres, des lettres et des symboles. Nous recommandons une longueur minimale de 15 caractères. Vous devez également mélanger les mots de passe et ne pas réutiliser le même mot de passe pour tous vos comptes. Utilisez un gestionnaire de mots de passe si vous avez du mal à vous souvenir et à garder une trace de tous vos mots de passe.
• Appliquez automatiquement les mises à jour Microsoft pour toutes les versions de vos logiciels clients et serveurs. Assurez-vous que le paramètre est activé et que les mises à jour sont installées en arrière-plan sans demande manuelle. Vous devez également donner la priorité à la correction des vulnérabilités RDP avec des exploits publics connus.
• Mettez en place une authentification multifactorielle et utilisez les dernières politiques de surveillance des comptes pour lutter contre les attaques par force brute. Vous devez également modifier le port RDP par défaut 3389 pour plus de sécurité.
• Utilisez une liste blanche pour vos connexions et limitez-les à des hôtes de confiance spécifiques. Nous vous suggérons de restreindre l'accès au port du bureau à distance aux adresses IP sélectionnées et vérifiées uniquement. Si vous modifiez le paramètre du serveur, celui-ci empêchera toute tentative de connexion provenant d'adresses IP ne figurant pas dans la liste blanche. Il bloquera automatiquement les tentatives et les processus malveillants.
• Mettez en place une architecture de sécurité réseau Zero Trust (ZTNA) et appliquez le principe de l'accès avec les privilèges les plus restreints à tous les comptes. Il est essentiel d'effectuer des vérifications régulières et de s'assurer que tous les ports RDP sont sécurisés.
• Limitez l'accès aux connexions RDP en installant des pare-feu. Vous devez également ajouter le pool d'adresses du réseau privé virtuel de l'entreprise à vos règles d'exception du pare-feu RDP. Activez l'authentification au niveau du réseau avant d'établir de nouvelles connexions RDP.
• Configurez les serveurs de bureau à distance pour qu'ils acceptent les connexions sans NLA si vous utilisez des clients de bureau à distance sur des plateformes non prises en charge. Vérifiez vos paramètres de stratégie de groupe et rendez l'authentification utilisateur obligatoire pour toutes les connexions à distance.
• Vous pouvez également configurer des stratégies de verrouillage de compte. Après un certain nombre de tentatives infructueuses, cela empêchera les pirates informatiques d'obtenir un accès non autorisé à l'aide d'outils automatisés de devinette de mot de passe. Vous pouvez configurer jusqu'à trois tentatives invalides avec des durées de verrouillage de trois minutes chacune.
• Utilisez des solutions avancées de détection des menaces par IA et de lutte contre les logiciels malveillants. Configurez des processus d'analyse en arrière-plan et une surveillance de la sécurité des terminaux afin que vos appareils, vos réseaux et vos utilisateurs soient constamment surveillés. Cela permettra d'éviter les attaques internes et les attaques informatiques fantômes, et ajoutera une couche de protection supplémentaire.
• Sensibilisez vos employés à la manière de reconnaître les connexions RDP et les tentatives d'accès échouées. Encouragez-les à signaler leurs découvertes de manière anonyme, si nécessaire, et favorisez une culture de transparence sur le lieu de travail. Si vos employés s'impliquent activement, toute l'équipe sera sur la même longueur d'onde. Tous vos services doivent savoir comment prévenir les attaques RDP et connaître les mesures prises par les pirates pour renforcer les contrôles et les privilèges. La sécurité commence par la protection des utilisateurs qui utilisent ces technologies avant d'utiliser des outils d'automatisation et des flux de travail pour se défendre.

Comment réagir à une attaque RDP ?

Utilisez SentinelOne Singularity XDR Platform pour automatiser l'investigation des incidents et appliquer les meilleures pratiques en matière de RDP. Vous pouvez aider votre équipe SOC à accélérer sa réponse. Voici les mesures à prendre si vous êtes victime d'une infection RDP :

• Bloquez l'adresse IP de l'utilisateur compromis et de l'attaquant dès que vous la découvrez. Cela permettra de contenir la menace et de la mettre en quarantaine. Lancez une enquête ASN et examinez les activités des utilisateurs. Utilisez le module XSOAR de SentinelOne pour détecter les campagnes liées au RDP.
• Singularity Threat Intelligence et Purple AI peuvent vous fournir des informations plus détaillées sur l'adresse IP des attaquants. Isolez les terminaux compromis et récupérez les activités en fonction des différentes étapes MITRE. SentinelOne vous guidera tout au long du processus, de l'enrichissement à l'enquête et à la réponse. Vous pouvez clore l'incident, mettre à jour et synchroniser avec XDR. Vous pourrez consulter toutes les informations sur les écosystèmes de gestion des utilisateurs internes et externes à partir du tableau de bord et de la console unifiés.
• Si vous souhaitez mener une enquête approfondie, vous pouvez envisager d'essayer les services de recherche de menaces de SentinelOne. Ils vous permettront de découvrir d'autres IoC (indicateurs de compromission) liés à l'adresse IP ou aux campagnes des attaquants.
• Continuez à utiliser la plateforme SentinelOne pour vous défendre contre les attaques par force brute RDP et protéger les actifs critiques de votre organisation. Mettez en œuvre les meilleures mesures de cybersécurité et renforcez vos défenses cloud contre les menaces émergentes.

Exemples concrets de cyberattaques basées sur le protocole RDP

Le port 3389 par défaut du protocole RDP peut être utilisé pour lancer des attaques sur le chemin. BlueKeep était l'une des vulnérabilités RDP les plus graves et a été officiellement désignée sous le nom de CVE-2019-0708. Il s'agissait d'une exécution de code à distance (RCE) sans authentification et respectant un format spécifique. Elle était fonctionnelle et a fini par se propager à d'autres machines du réseau. Les utilisateurs ne pouvaient rien faire et les pirates avaient compromis les systèmes en obtenant un accès non autorisé, se déplaçant latéralement au sein du réseau tout au long du processus. Ils avaient escaladé les privilèges et installé des logiciels malveillants, allant même jusqu'à déployer des ransomwares.

Les attaquants peuvent rapidement identifier les ports RDP mal configurés et lancer des attaques à l'aide de robots d'indexation tels que Shodan. Ils peuvent lancer des attaques par force brute et obtenir automatiquement un accès non autorisé, voire lancer des attaques de type " man-in-the-middle " (MitM). Des modules malveillants tels que Sodinokibi, GandCrab et Ryuk peuvent également être impliqués dans des attaques RDP, comme ce fut le cas lors de l'attaque par ransomware RobinHood dont a été victime la ville de Baltimore.

Atténuer les attaques RDP avec SentinelOne

SentinelOne peut bloquer les connexions RDP (Remote Desktop Protocol), y compris les attaques P2P suspectes sur les bureaux à distance. Il peut utiliser ses capacités de sécurité des terminaux pour sécuriser l'accès à distance pour un shell distant complet. Vous pouvez déployer l'agent SentinelOne et surveiller toutes les applications et tous les fichiers, y compris les processus et les connexions liés au RDP.

SentinelOne peut déployer automatiquement l'accès à distance à tous les appareils, y compris ceux liés au RDP.

Vous pouvez également utiliser SentinelOne pour prendre des mesures, telles que mettre des fichiers en quarantaine et annuler les modifications non autorisées. Il peut détecter et bloquer les attaques P2P RDP qui utilisent des outils commerciaux prêts à l'emploi tels que TeamViewer ou VMC pour le contrôle à distance.

Vous pouvez également détecter et vous protéger contre les dernières vulnérabilités, telles que la vulnérabilité BlueKey, connue pour cibler et exploiter les connexions RDP. SentinelOne fournit des mesures de sécurité supplémentaires, telles que la mise en œuvre de contrôles d'accès basés sur des politiques. Il utilise des mots de passe dédiés pour crypter chaque session et met également en œuvre une authentification multifactorielle.

Il peut appliquer une authentification à deux facteurs avant d'autoriser l'accès et dispose de données d'audit détaillées.

SentinelOne peut également être utilisé pour déployer un accès à distance à tous les appareils, y compris les processus et connexions liés au RDP.

L'agent et l'outil de ligne de commande de SentinelOne peuvent gérer ses agents. Il peut vérifier son état, exécuter des diagnostics, surveiller et protéger les terminaux. SentinelOne s'intègre également à d'autres plateformes telles que SonicWall et NinjaOne grâce à son application dédiée. Il garantit des connexions RDP transparentes sur plusieurs plateformes et offre la meilleure sécurité intégrée basée sur l'IA.

Réservez une démonstration en direct gratuite.

Conclusion et CTA

Les attaques RDP restent une menace pour les organisations de toute taille. Vous pouvez vous défendre contre ces attaques en suivant les pratiques décrites dans ce guide. Vous aurez besoin de bons mots de passe, d'une authentification multifactorielle et de mises à jour régulières pour rester en sécurité. Vous pouvez détecter rapidement les activités suspectes en surveillant le trafic réseau et les journaux RDP. Vous devez désactiver le RDP lorsque vous ne l'utilisez pas et limiter l'accès via des pare-feu et des listes blanches. Mais vous avez besoin d'outils avancés et d'une formation des employés pour mettre en place une bonne posture défensive. SentinelOne offre une protection basée sur l'IA qui détecte et bloque automatiquement les menaces basées sur le RDP, vous offrant une visibilité et un contrôle complets de votre environnement de bureau à distance.

Protégez votre entreprise dès aujourd'hui avec SentinelOne.

"

FAQs