İnternet istihbarat firması Greynoise, Microsoft uzak masaüstü web erişimini araştıran yaklaşık 1.971 IP adresinden oluşan tarama etkinliğinde önemli bir artış kaydettiğini bildirerek, koordineli bir keşif kampanyası önerdi.
Araştırmacılar, bunun etkinlikte büyük bir değişiklik olduğunu söylüyor ve şirket genellikle bu tür taramayı gerçekleştiren günde sadece 3-5 IP adresini görüyor.
Grinnoise, taramalardaki dalganın, kullanıcı adlarını doğrulamak için kullanılabilecek zamanlama kusurlarını test ettiğini ve kaba kuvvet veya şifre püskürtme saldırıları gibi gelecekteki kimlik bilgisi tabanlı saldırıları ayarladığını söylüyor.
Zamanlama kusurları, bir sistemin tepki süresi veya istek istemeden hassas bilgileri ortaya çıkardığında ortaya çıkar. Bu durumda, RDP’nin geçerli bir kullanıcı ile giriş denemelerine ne kadar hızlı yanıt verdiği konusunda hafif bir zamanlama farkı, geçersiz bir kullanıcı ile karşılaştırıldığında, kullanıcı adının doğru olup olmadığını çıkarmasına izin verebilir.
Geynoise ayrıca 1.851’in aynı müşteri imzasını paylaştığını ve bunlardan yaklaşık% 92’sinin zaten kötü niyetli olarak işaretlendiğini söylüyor. IP adresleri ağırlıklı olarak ABD’de Brezilya’dan ve hedeflenen IP adreslerinden kaynaklanmaktadır, bu da bunun taramaları gerçekleştiren tek bir botnet veya araç seti olabileceğini gösterir.
Kaynak: Geynoise
Araştırmacılar, saldırının zamanlamasının, okulların ve üniversitelerin RDP sistemlerini çevrimiçi olarak geri getirebileceği ABD’nin okula dönüş sezonuna denk geldiğini söylüyor.
Greynoise’in Noah Stone’u, “Zamanlama kazara olmayabilir. 21 Ağustos, üniversiteler ve K-12’nin RDP destekli laboratuvarları ve uzaktan erişimi çevrimiçi ve binlerce yeni hesapta yerleşik bir şekilde getirdiğinde ABD’nin okula dönüş penceresinde duruyor.”
“Bu ortamlar genellikle öngörülebilir kullanıcı adı formatlarını (öğrenci kimlikleri, firstname.lastname) kullanır, numaralandırmayı daha etkili hale getirir. Bütçe kısıtlamaları ve kayıt sırasında erişilebilirlik konusunda bir öncelikle birleştiğinde maruz kalabilir.”
Bununla birlikte, taramalardaki artış, Greynoise daha önce kötü niyetli trafikteki ani artışların yeni güvenlik açıklarının açıklanmasından önce geldiğini bulmuş gibi, yeni bir güvenlik açığının bulunabileceğini de gösterebilir.
RDP portallarını ve açık cihazları yöneten Windows Admins, hesaplarının çok faktörlü kimlik doğrulama ile düzgün bir şekilde güvence altına alınmasını sağlamalı ve mümkünse VPN’lerin arkasına yerleştirmelidir.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.