Description
Ce rapport identifie les hôtes disposant d’un service Remote Desktop Protocol (RDP) accessible depuis Internet. Ce service, quand il est mal configuré, peut permettre à des pirates informatiques d'accéder au bureau (Windows Desktop) d'un hôte vulnérable et peut également permettre la collecte d'informations sur un hôte cible, puisque le certificat SSL utilisé par le RDP contient souvent le nom d'hôte du système. Ce protocole est également la cible constante d’attaques de force brute automatisées dans le but de deviner les identifiants permettant d’accéder aux systèmes exposés.
Évaluation
Les entrées de ce rapport correspondent à des hôtes dont le service RDP (Remote Desktop Protocol) est exposé à Internet. Le nom d'hôte et le certificat présentés par ce service entraînent une fuite d'informations et l'identification potentielle du propriétaire du serveur. En outre, ce protocole présente des vulnérabilités connues (BlueKeep et autres) et il est fortement conseillé pour des raisons de sécurité de ne pas exposer les services RDP à Internet. La probabilité de découverte est élevée. Le RDP est une cible fort prisée et les pirates informatiques recherchent activement ces cibles potentielles. L'impact est élevé. Parmi les nombreux ports RDP exposés, une partie d’entre eux sera vulnérable. Les rapports de Shadow Servers mettent également en évidence les serveurs vulnérables à BlueKeep.
Recommendations
- Si possible, limitez l'accès aux serveurs RDP aux réseaux internes.
- Si un accès à distance est nécessaire : utilisez un VPN, verrouillez les comptes après plusieurs tentatives de connexion infructueuses, utilisez des mots de passe complexes et une authentification à plusieurs facteurs dès que possible.
- Veillez à ce que le serveur soit constamment à jour.
Références
Shadow Server – RDP Scanning Project
Microsoft - CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability
CVE-2019- 0708 − Wikipedia – Bluekeep