Son verilere göre, 3-4 milyon aktif port sayısına her ay neredeyse yarım milyon ilave yaşanıyor. Buna paralel olarak saldırılar o kadar yoğunlaşıyor ki RDP üzerinden elde edilen verilerin dark web üzerinde satışı yeni rekorlar kırıyor.
Güncel bir araştırmaya göre, Microsoft Uzaktan Erişim Protokülünü (RDP) kullanan yazılımlar üzerinden pandemi sürecinde çok sayıda saldırının gerçekleştiğini görüyoruz. Bilindiği gibi uzaktan çalışma yönteminin benimsendiği son aylarda birçok şirket Microsoft RDP’yi tercih etmeye başladı. Bu sayede kişilerin ev ortamında işlerini yürütebilmesi ve üretimin devamı esas kılındı. Ancak bu süreç RDP portlarının daha önce hiç olmadığı kadar yoğun kullanılmasına neden oluyor. Bu da saldırıların yoğunlaşmasına neden oluyor ve RDP üzerinden elde edilen verilerin dark web’teki satışı rekor seviyeye çıkıyor.
Microsoft RDP hizmetini hacklemek
The Microsoft RDP hizmetini kullanmak için Terminal Services Client (MSTSC) üzerinden erişim kurmanız gerekiyor. Daha sonra “C:\Windows\System32” dizini altında “mstscax” DLL’sini onaylayarak kullanıma başlıyorsunuz. İşte burası sistemin zayıf karnı olarak gösteriliyor. Saldırganlar bu DLL’yi önceden ele geçirerek adeta pusuda bekliyorlar. Kendi yükledikleri DLL ile gerekli ayrıcalıklara sahip olan saldırganlar bir anlamda bilgisayarın yöneticisi konumuna geliyorlar.
Saldırıyı gerçekleştirmenin bir diğer yolu ise “mstscax” DLL’sini “mstsc.exe” dosyası ile değiştirmek. Bunu da kullanıcı klasörlerine bir şekilde erişim sağladıktan sonra gerçekleştirmek mümkün hale geliyor. Özellikle kullanıcı, Windows üzerinde dosya araması yaptığında karşısına doğal olarak DLL’den önce exe dosyası geldiği için bir anlamda kendi rızasıyla programı aktif hale getiriyor. Bu işlemin daha karmaşık haline ise DLL Arama Sırası Saldırısı (DLL Search Order Hijacking) ismi veriliyor.
RDP hacklerini fark etmek neden bu kadar zor?
RDP bir ağ protokolüdür ve bu protokol üzerinden kullanıcı, ağa bağlı bir cihazı uzaktan kontrol edebilir. Uzaktan bağlanan kişi sadece kontrol ettiği cihazın ekranını görebilir. Elbette klavye ve fare gibi denetimciler, bu esnada fiziksel olarak bağlı gibi çalışır konumdadır. Uzaktan erişimin sağlanması için de kullanıcı ve adı şifrenin hem yerel hem de uzaktaki makine üzerinde onaylanması gerekir. İşte önemli bir güvenlik kriteri olan bu süreç, RDP saldırılarında baypass edilerek hem yerel hem de uzaktaki kullanıcı ve cihazı zor duruma sokabilir.
Peki, son derece sinsi ve gizlice işleyen RDP saldırılarına karşı nasıl korunabilir, şirket verimizi ve cihazları güveli hale getirebiliriz? İşte size birkaç ipucu…
Ağ geçidi kullanarak güvenliği artırın
Önemli olan noktalardan biri bilgisayarınızın kullandığı internet ile RDP özelliğini kullanan cihazın köprü kullanması. Windows Uzaktan Masaüstü Ağ Geçidi (Windows Server Remote Desktop Gateway) 443 portu üzerinden SSL/TLS güvenlik protokollerini destekleyerek önemli bir avantaj sağlıyor.
Şifreleri daha az tahmin edilir hale getirin
İlginçtir ama en sık kullanılan saldırı yöntemlerinden biri şifre tahmin ederek sisteme erişmek. Özellikle 12345, admin gibi şifrelerden uzak durun. Hatta zor bir şifre de bulsanız ara ara bunu değiştirmeyi ihmal etmeyin.
Güvenlik duvarı kullanmayı düşünün
3389 numaralı portunuzu bir güvenlik duvarı ile kapatmak sağlam bir güvenlik önlemi olacaktır. Güvenlik duvarı RDP kullanmayan yazılımlarda da işinize yarayacağı için farklı bir yazılımın port açma riskini de ortadan kaldıracaktır.
Ağ seviyesinde kimlik doğrulama
En güncel Windows işletim sisteminde kimlik doğruluma otomatik bir özellik olarak karşımıza çıkıyor. Windows Sunucusu uzaktan bir bilgisayara bağlanırken ek kimlik doğrulama özelliğiyle güvenliği pekiştiriyor.
Erişim kısıtlaması getirin
Risklerine rağmen RDP’yi kaldırmak, kurumsal işleyiş açısından mantıklı bir hareket olmayacaktır. Özellikle COVID-19 döneminde uzaktan çalışmaya ihtiyaç duyulduğu için en doğrusu ağa ve cihaza bağlanan kişilere belirli bir sınır getirmek olacaktır. Bu aşamada doğru bir planlama yaparak kimin hangi ağa ve hangi cihaza bağlanması gerektiği konusunda bir öncelik sırası oluşturulması, gerek duyulmayan kişilere erişim verilmemesi en etkili yöntemlerin başında gelir.
SecureSpace, RDP’den gelen saldırıları önlemeye nasıl yardımcı oluyor?
Birçok konuda siber güvenlik hizmeti sunan SecureSpace Güvenlik Operasyon Merkezi, dünya standartları ve regülasyon uyumlulukları kapsamında zafiyet analiz çalışmaları gerçekleştiriyor. SecureSpace, ağınızda ve bilgisayarlarınızda güvenlik açığı değerlendirmeleri ve sızma testleri yapılmasına yardımcı oluyor. Herhangi bir zayıflık keşfededildiği takdirde, kıdemki güvenlik uzmanlarımız her bir tehdit için güncel zafiyetleri araştırıyor ve raporluyor. Ayrıca önerilen azaltma stratejisinin uygulanmasına da destek veriyor. NSC Soft’un yüksek güvenlikleri çözümleri hakkında detaylı bilgi almak için ziyaret edin.