Een internetbeveiligingsbedrijf, GreyNoise, rapporteert een sterke toename in scans van bijna 1.971 IP-adressen die tegelijkertijd Microsoft Remote Desktop Web Access en RDP Web Client-portal authenticaties onderzoeken. Dit wijst op een gecoördineerde verkenningsactie.

Volgens de onderzoekers is dit een opvallende verandering, aangezien het bedrijf normaal gesproken slechts 3 tot 5 IP-adressen per dag ziet die deze scans uitvoeren.

GreyNoise legt uit dat deze golf van scans zoekt naar tijdgebreken die kunnen worden benut om gebruikersnamen te verifiëren, wat de weg vrijmaakt voor toekomstige aanvallen op basis van inloggegevens, zoals brute force- of password-spray-aanvallen.

Tijdgebreken komen voor wanneer de reactietijd van een systeem ongewenst gevoelige informatie prijsgeeft. Hierbij kan een klein verschil in de snelheid waarmee RDP reageert op geldige versus ongeldige gebruikersinlogpogingen, aanvallers vertellen of een gebruikersnaam correct is.

Daarnaast meldt GreyNoise dat 1.851 van deze IP-adressen dezelfde clientsignatuur deelden, waarvan ongeveer 92% al als kwaadaardig was gemarkeerd. De IP-adressen zijn voornamelijk afkomstig uit Brazilië en richten zich op doelen in de Verenigde Staten, wat suggereert dat het om een enkel botnet of toolset gaat die de scans uitvoert.

De timing van de aanval valt samen met het begin van het schooljaar in de VS, wanneer scholen en universiteiten hun RDP-systemen online brengen.

“Noah Stone van GreyNoise legt uit: “De timing kan geen toeval zijn. Augustus 21 valt precies binnen de terug-naar-schoolperiode in de VS, wanneer universiteiten en K-12-instellingen RDP-gebaseerde labs en toegangssystemen activeren en duizenden nieuwe accounts aanmaken.”

“Deze omgevingen gebruiken vaak voorspelbare gebruikersnaamformaten, zoals student-ID’s of voornaam.achternaam, wat opsomming effectiever maakt. In combinatie met budgetbeperkingen en focus op toegankelijkheid tijdens inschrijving kan de blootstelling toenemen.”

Echter, de toename in scans kan ook wijzen op de ontdekking van een nieuwe kwetsbaarheid, aangezien GreyNoise vaker ziet dat een piek in kwaadaardig verkeer voorafgaat aan het openbaar maken van nieuwe kwetsbaarheden.

Windows-beheerders die RDP-portalen en blootgestelde apparaten beheren, moeten ervoor zorgen dat hun accounts goed beveiligd zijn met multi-factor authenticatie en deze indien mogelijk achter VPN’s plaatsen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.