Свежачок из багтэков и безопасность RDP
Mar. 14th, 2012 11:29 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnine1. Вчера Microsoft опубликовала очередной секьюрити буллетин (http://technet.microsoft.com/ru-ru/security/bulletin/ms12-020), согласно которого в RDP обнаружен эксплойт класса remote code execution. Это АХТУНГ. Подвержены все ОС от ХР до 2008 R2.
Поэтому, если вдруг где отключены автообновления -- необходимо включить или установить этот апдейт вручную. Стоит ожидать включения этого эксплойта в метасплойт и соответственно шквала взломов RDP-серверов по всему миру кулхацкерами. Кто-то поимеет (или уже?) нехилые ботнеты в тысячи и сотни тысяч боксов.
2. В последнее время был ряд публикаций в прессе типа журнала "Хакер" о тулките для брутфорса RDP ncrack. За последние полгода сильно увеличилась активность брутфорса на стандартный порт RDP. Это может привести к успешному подбору пароля, если в компании не установлено требование по сложности паролей (password complexity security policy). Если пароли сложные, то подбор может занять столетия, однако, в результате подбора тратятся серверные ресурсы. Также брутфорс на RDP может вызвать отказ в обслуживании из-за локаута учётных записей -- юзернеймы подпавшие под брутфорс будут залочены и юзеры не смогут аутентифицироваться. Кроме этого загаживается security журнал до такого состояния, что туда влазят при настройках по-умолчанию только события 1 дня, а то и меньше. В добавок к изложенному выше в унылых МЭ типа УГ (UserGate) может переполниться база статистики (по-умолчанию пишется в БД MS Jet).
Поэтому следует стараться не светить RDP в интернет, а заворачивать его в к-л VPN. Если же этот вариант недоступен, то ВСЕГДА следует менять дефолтный порт с 3389 на любой нестандартный, например, 53389, что снижает количество долбежки брутфорсовых ботов на порядок.
Менять порт на нестандартный можно при публикации RDP на МЭ типа Керио, ТМГ и т.п., либо прямо на RDS сервере, меняя запись в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PortNumber
тип REG_DWORD
по умолчанию равен 3389 (в десятичной)
Поэтому, если вдруг где отключены автообновления -- необходимо включить или установить этот апдейт вручную. Стоит ожидать включения этого эксплойта в метасплойт и соответственно шквала взломов RDP-серверов по всему миру кулхацкерами. Кто-то поимеет (или уже?) нехилые ботнеты в тысячи и сотни тысяч боксов.
2. В последнее время был ряд публикаций в прессе типа журнала "Хакер" о тулките для брутфорса RDP ncrack. За последние полгода сильно увеличилась активность брутфорса на стандартный порт RDP. Это может привести к успешному подбору пароля, если в компании не установлено требование по сложности паролей (password complexity security policy). Если пароли сложные, то подбор может занять столетия, однако, в результате подбора тратятся серверные ресурсы. Также брутфорс на RDP может вызвать отказ в обслуживании из-за локаута учётных записей -- юзернеймы подпавшие под брутфорс будут залочены и юзеры не смогут аутентифицироваться. Кроме этого загаживается security журнал до такого состояния, что туда влазят при настройках по-умолчанию только события 1 дня, а то и меньше. В добавок к изложенному выше в унылых МЭ типа УГ (UserGate) может переполниться база статистики (по-умолчанию пишется в БД MS Jet).
Поэтому следует стараться не светить RDP в интернет, а заворачивать его в к-л VPN. Если же этот вариант недоступен, то ВСЕГДА следует менять дефолтный порт с 3389 на любой нестандартный, например, 53389, что снижает количество долбежки брутфорсовых ботов на порядок.
Менять порт на нестандартный можно при публикации RDP на МЭ типа Керио, ТМГ и т.п., либо прямо на RDS сервере, меняя запись в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
PortNumber
тип REG_DWORD
по умолчанию равен 3389 (в десятичной)
