Spring til indhold Spring til søgning på Forsvaret.dk Spring til højrebar

Hovedmenu

Menu

 
 
 

Varsel: Hackere misbruger RDP-fjernadgange

Indholdsområde

 
 
 

Varsel: Hackere misbruger RDP-fjernadgange 

26-03-2020 - kl. 10:45
Mange myndigheder og virksomheder har i forbindelse med den igangværende Corona-pandemi for nyligt øget brug af fjernadgange for at muliggøre hjemmearbejde, herunder fjernadgang via Remote Desktop Protocol (RDP).

Cyberkriminelle misbruger imidlertid hyppigt sårbare RDP-adgange i cyberangreb, herunder målrettede ransomware-angreb. Videregivelse og salg af kompromitterede RDP-adgange er derfor udbredt i kriminelle kredse.

Danske myndigheder og virksomheder bør være opmærksomme på, at RDP-opsætninger uden tilstrækkelig sikkerhed let kan fremfindes af hackere. En søgning via søgemaskinen Shodan for åbne port 3389 i Danmark med direkte adgang finder over 5.000 danske IP-adresser.

Hvis RDP-adgangen ikke er beskyttet af f.eks. flerfaktor-autentifikation eller en VPN-løsning, kan den potentielt kompromitteres ved at gætte brugernavn og password, særligt hvis der benyttes simple brugernavne og svage password. Cyberkriminelle har udviklet et nyt modul til den meget udbredte malware TrickBot, som specifikt er designet til at foretage brute-force angreb mod RDP-adgange. TrickBot benyttes også i målrettede ransomware-angreb.

Anbefaling

CFCS anbefaler at:
  • Anvendelsen af privilegerede services, herunder RDP via internettet, bør altid ske ved anvendelse af VPN eller RDP Gateway.
  • Brugere bør altid autentificeres ved brug af to-faktor autentifikation, når de tilgår organisationens it-systemer via RDP.
  • Organisationer bør holde sig opdateret om de nyeste RDP versioner.
    I januar 2020 patchede Microsoft f.eks. en kritisk sårbarhed i RDP Gateway: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0610.
  • Brugeradgang bør altid valideres med stærke password. Se i den forbindelse CFCS’ passwordvejledning.
  • RDP-brugere bør låses ude ved gentagen indtastning af forkert password.
  • Hvis det er nødvendigt at åbne for RDP igennem perimeter firewall, så overvej at anvende en anden port end standardporten 3389.
  • Det bør sikres at alle medarbejderkonti, der ikke anvendes f.eks. på grund af ophør af ansættelsesforholdet bliver lukket.

For yderligere information se eventuelt: Securing Remote Desktop (RDP) for System Administrators.

Pressevagt

Eventuelle spørgsmål kan rettes til FE presse tlf. 20 16 05 93