Uzak masaüstü yazılımı, uzaktan çalışmayı kolaylaştırırken, çeşitli araç ve bağlantı noktalarının kullanılması nedeniyle BT ekipleri için güvenlik zorlukları da oluşturur.
Bağlantı noktalarının çokluğu, kötü amaçlı trafiğin izlenmesini zorlaştırır.
Kullanıcı sistemlerine erişim sağlamak için zayıf kimlik bilgileri ve yazılım açıklarından yararlanılıyor.
Bilgisayar korsanları, kullanıcıları erişim izni vermeleri için kandırmak amacıyla teknik destek dolandırıcılıklarından da yararlanabilir.
Araştırmacılar, RFB protokolünü kullanan platformdan bağımsız bir uzak masaüstü aracı olan VNC’yi en çok hedeflenen uzak masaüstü uygulaması (trafiğin %98’i) olarak belirledi.
Saldırılar, RealVNC 4.1.1’deki zayıf parolalardan ve kritik bir güvenlik açığından (CVE-2006-2369) yararlanarak kimlik doğrulamanın atlanmasına olanak sağladı.
Saldırıların %99’undan fazlası, uygulama veri alışverişi için kullanılan TCP bağlantı noktaları yerine güvenli olmayan HTTP bağlantı noktalarını hedef aldı; bu da saldırganların yetkisiz erişim için HTTP’deki doğal kimlik doğrulama eksikliğinden yararlandığını gösteriyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
VNC’lerin güvenliği, belirli yazılıma bağlı olarak değişir; bazıları zayıf şifre sınırlamaları sunarken, diğerleri şifreleme için SSH veya VPN tünellemesinden yararlanır.
VNC, ek ekran numarasına sahip bir temel bağlantı noktası (TCP için 5800, HTTP için 5900) kullanır ve bu, tek bağlantı noktalı uzak masaüstü çözümleriyle karşılaştırıldığında güvenlik duvarlarıyla güvenliği sağlamayı zorlaştırır.
Ek olarak, saldırganların proxy ve VPN kullanması nedeniyle VNC saldırılarının kaynağını belirlemek zor olsa da önemli bir kısmının Çin kaynaklı olduğu görülüyor.
Saldırganlar, kimlik bilgilerine dayalı saldırılar için bir uzak masaüstü protokolü olan RDP’yi hedefler ve kötü amaçlı kod yürütmek için güvenlik açıklarından yararlanır; çünkü RDP’nin, VNC’ye kıyasla büyük saldırılara karışma olasılığı daha yüksektir.
İstismar Edilen Kusurlar
Bir çalışmada, RDP saldırılarının %15’i, muhtemelen daha eski, daha savunmasız RDP yazılımlarını ve CVE-2018-0886 (kimlik bilgisi güvenliğini hedefleyen), CVE-2019-0708 (solucan potansiyeli olan) ve CVE-2019-0708 gibi RDP güvenlik açıklarını hedeflemek için eski çerezlerden yararlandı. CVE-2019-0887 (hipervizör erişimi) Barracuda tarafından rapor edildi.
Saldırganlar, sistemlere erişim sağlamak için RDP’deki güvenlik açıklarından yararlanır. Ayrıcalıklı hesaplar için şifre karmalarını hedef alan kaba kuvvet saldırıları yaygındır. RDP aynı zamanda hizmet reddi saldırıları başlatmak için de kullanılabilir.
Sosyal mühendislik dolandırıcılıklarında saldırganlar, kullanıcıları sahte teknik sorunları çözmek için RDP erişimi vermeye ikna eder ve savunmasız RDP örnekleri, daha sonraki saldırılar için karaborsada satılır.
Kuzey Amerika, RDP saldırılarının önde gelen kaynağıdır, ancak anonimleştirme teknikleri nedeniyle konum takibi zordur.
Uzak masaüstü aracı olan TeamViewer, nadiren saldırılarla karşılaşır (trafiğin %0,1’i). Son sürümler işletmeleri hedef alıyor ve iş uygulamalarıyla entegre olarak parmak izi alma, güçlü parola uygulaması ve çok faktörlü kimlik doğrulama gibi güvenlik özellikleri sunuyor.
Şifreli iletişim kanalları güvenliği daha da artırır. Ancak kimlik avı kimlik bilgileri ve teknik destek dolandırıcılıkları yine de TeamViewer oturumlarını tehlikeye atabilir ve birincil bağlantı noktası 5938’in ötesindeki bağlantı noktalarını kullanabilir, bu da kötü amaçlı trafiğin tespitini güvenlik ekipleri için daha zor hale getirebilir.
Citrix, ICA’yı RDP’ye alternatif olarak yarattı. 1494 ve 2598 numaralı bağlantı noktalarını kullanırken eski ICA istemcileri ve ICA Proxy’sinde RCE güvenlik açıkları vardı.
Başka bir RDP çözümü olan AnyDesk, 6568 numaralı bağlantı noktasını kullanıyor ve teknik destek dolandırıcılıkları ve kötü amaçlı yazılımlar yoluyla kötüye kullanılıyor; 6783 numaralı bağlantı noktasını kullanan Splashtop Remote ise destek dolandırıcılıklarına karışıyor ve zayıf kimlik bilgileri yoluyla ele geçirilebiliyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide