This article was featured in Techworld on 25/01/2019. Svensk version: se nedan.

In an in-depth investigation into the IT security of Swedish companies, Awingu was able to identify 9.655 organizations that run a high risk of hacking. We did specific research on IP addresses that were connected to unprotected Remote Desktop Servers (based on the Remote Desktop Protocol). Microsoft’s RDP is a very popular server-based computing technology, but in its bare form, it offers insufficient protection. By implementing Awingu on top of RDP, you can greatly reduce the security risk of your IT environment.

RDP is one of the most used IT solutions in the world. Via the RDP client, an application that needs to be installed on the user’s device (e.g. a laptop), you allow users to access a desktop or application remotely. Typically, this is used to enable employees to use their software both inside and outside of the company. RDP is a low-threshold solution, and the addition of security is sometimes omitted: extra security measures (e.g. firewall rules or access control lists) mean added complexity for the IT administrator (and the user).

However, leaving your RDP environment without protection is not without risks: ‘Since 2002, 20 Microsoft security updates have been released specifically for RDP, and people now know of at least 25 vulnerabilities (CVEs) that malicious parties can exploit without much effort. With that in mind, you must be crazy not to add an extra layer of security to your environment’, Kurt Bonne (CTO Awingu) teaches us.

After analysis based on data made available by search engine Shodan, Awingu achieved the following spectacular result: almost 9.655 RDP endpoints are currently publicly available in Sweden. This means that these are accessible to everyone via the internet – even if no secure connection, facilitated by the organization, is established. In other words, these are not or insufficiently protected and have an unmistakable potential to be hacked. Such companies with an open RDP environment are therefore advised to do something about this as quickly as possible.

Open RDP endpoints occur everywhere in Sweden: any form of geographical concentration we noticed in our research corresponds to industry density. In other words, it is a global problem that does not seem to affect any region in particular. If we map out the impacted companies – or at least the location of their data centre – this results in the following:swe distribution by geo

Locations of open RDP endpoints SwedenJanuary 2019, Awingu

The Remote Desktop protocol was originally developed to be used primarily on an internal company network. Making your environment directly available via the internet may be possible, but it is advised to take at least several security measurements beforehand. You can find several methods to protect your environment on the web that, although they’re sometimes outdated, are very relevant and necessary to ensure a minimum of security.

In the more recent RDP versions, Microsoft paid great attention to the safety aspect, not only by adding more possibilities but also by offering more intelligent default settings. You would, therefore, think that it is a ‘no-brainer’ to at least upgrade your RDP environment to the latest version, but often older applications are not always compatible, and the older versions are kept out of necessity.

Insufficient security at RDP ports is a universal problem in Sweden that is not regionally bound and prevents companies affiliated with any provider, large or small. It is therefore highly recommended that you review the situation at your company and, if necessary, place an extra layer of security on top of your environment. If you do not do that, you run a considerable risk of being hacked at any given moment. Awingu is a solution that offers companies this extra security.

Awingu facilitates a solution for this problem with our Unified Workspace. When using it, you connect to the application or desktop via a browser – and no longer via an RDP client. This means that people with bad intentions can no longer exploit the weak points of an unprotected RDP access. To maximize protection through the browser access, Awingu implements the following security measures:

  • Multi-factor authentication: Awingu comes with a built-in MFA solution, and can (if necessary) easily integrate your current method of authentication. By adding MFA you ensure that the ‘brute force attacks’ are no longer possible.
  • SSL without hassle: use your own certificates or switch SSL via the built-in Let’s Encrypt integration with just a single mouse click.
  • Extensive audit possibilities: keep your existing RDP logging tools running alongside the included Awingu audit capabilities
  • Anomaly detection: get informed about irregularities in your environment, such as someone who logs in too often with a wrong password or when someone tries to log in from abroad

Do you want to know more about how Awingu can help you to secure your IT environment? Get in touch with us!


TUSENTALS SVENSKA FÖRETAG ÖPPNA FÖR GISSLANATTACKER

Tusentals svenska företag exponerar tcp-porten för det ökända protokollet rdp, visar en granskning.

Remote Desktop Protocol (RDP) är ett kommunikationsprotokoll utvecklat av Microsoft som möjliggör att dela det du ser på skärmen med en annan dator över nätverket. Protokollet presenterades 1996 och var från början tänkt att användas på interna nätverk, och används flitigt än idag för att administrera Windows-servrar och inte minst för att underlätta i supportärenden. Protokollet består av en serverdel som delar ut protokollet över tcp-porten 3389, och en klientapplikation. Klientapplikationen finns även för andra operativsystem som Linux och Mac OS X.

Rdp har genom åren visat sig vara en säkerhetsrisk. Microsoft har sedan 2002 släppt 20 säkerhetsuppdateringar för protokollet, och i dagsläget finns det 25 kända sårbarheter med CVE-klassning som rör rdp. Med detta i åtanke innebär det en stor risk att exponera Windows-servrar mot internet med tcp-port 3389 öppen. Rdp-tjänsten på en Windows-maskin skyddas i grundläget endast av användarnamn och lösenord, vilket anses vara en för låg säkerhetsnivå.

Trots att de flesta it-administratörer känner till riskerna väljer många, medvetet eller omedvetet, att exponera rdp mot internet. Förklaringen är förmodligen att rdp är ett bekvämt sätt att fjärradministrera servrar. Inom Windows-miljön är rdp onekligen smidigt, men farligt. Även med fullt uppdaterade Windows-servrar av senaste version bör man vara mycket försiktig med att exponera rdp mot internet utan extra säkerhetslager.

Rdp-lösenord säljs på svarta marknaden

Även uppdaterade Windows-system är alltså sårbara, även om det vanligaste problemet är att system med öppna rdp-portar inte är uppdaterade. Det hänger inte minst ihop med att lösenord till företags rdp-tjänster säljs öppet på svarta marknaden. Ett annat problem är att rdp-system är sårbara för så kallade brute-force-attacker där förövarna systematiskt och automatiserat testar olika lösenord. Är då lösenordet svagt är risken stor att förövarna kommer in. Ytterligare en sårbarhet är att säkerhetskonfigurationerna på endera ändpunkten kan vara felaktig; även detta öppnar för attacker.

Eftersom rdp-tjänsten ofta används för att administrera servrar, givetvis via ett administratörskonto, är systemet vidöppet när förövaren väl överlistat skyddet.

« Rdp är ganska dåligt om det är öppet, inte bara för att det kan finnas sårbarheter i rdp-tjänsten (authentication bypass), men även för att inloggningsuppgifter för rdp-tjänster säljs friskt på svarta marknaden », säger David Jacoby, säkerhetsexpert på Kaspersky Labs till Techworld.

Belgiska saas-leverantören Awingu har genomfört en analys av öppna rdp-portar bland svenska företag. Denna analys, som Techworld tagit del av, visar att inte mindre än 9 655 svenska organisationer exponerar rdp-porten mot internet. Alla dessa organisationer löper stor risk att utsättas för attacker. Awingu gjorde sin undersökning genom att med hjälp av sökmotorn Shodan ta reda på vilka svenska ip-adresser som exponerar tcp-porten 3389.

« Med tanke på omständigheterna måste man vara tokig om man exponerar rdp-porten utan något extra skyddslager », säger Kurt Bonne, cto på Awingu.

Men problemet med exponerade rdp-portar begränsas förstås inte endast till Sverige. Sökmotorn Shodan användes även av säkerhetsföretaget Avast när de i oktober förra året kom fram till att nästan 3,5 miljoner rdp-portar är exponerade världen över.

providers swe

Providers linked to open RDP endpoints SwedenJanuary 2019, Awingu

Gisslanprogram älskar rdp

I åratal har gisslanprogram (ransomware) utnyttjat säkerhetsbristerna i rdp. Olika varianter med namn som ACCDFISA, SamSam och CrySiS utnyttjar svagheter i rdp för att ta sig in i offrens system och kryptera data. CrySiS har i sin tur gett upphov till fler varianter som Dharma, Brrr, Gamma och Monro. Nyligen skrev Techworld om en ny variant av Dharma som heter Phobos, som upptäcktes av säkerhetsanalytiker så sent som i december förra året. Att gisslanprogram älskar rdp är i sig ett bevis på protokollets svagheter; de som utvecklar attackerna vet att använda minsta motståndets lag.

« Vi har sett flera ransomware-attacker som spridits just via stulna rdp-konton », säger David Jacoby på Kaspersky Labs.

Även amerikanska federala polisen FBI har tillsammans med säkerhetstjänsten Department of Homeland Security uppmärksammat sambandet mellan gisslanattacker och exponerade rdp-portar. I en offentlig varning som publicerades 27 september förra året skriver myndigheterna att alla som använder rdp bör se över sina system och stänga av protokollet där det inte är absolut nödvändigt, men att systemen kan skyddas med hjälp av vpn-kopplingar och tvåfaktorsautentisering.

Där rdp-protokollet är nödvändigt ska administratörerna av systemet se till att säkra. Alla Techworld talat med är rörande överens om att protokollet helst bör stängas av, men om systemadministratörer måste använda rdp så ska det göras över vpn. Ett annat bra sätt att skydda systemen är att använda tvåfaktorsautentisering.

« Man ska skydda sina Windows-system genom att blockera rdp och endast ge tillgång till systemen via rdp-porten över vpn, men det är inte alltid en tillgänglig eller enkel metod. Då är tvåfaktorsautentisering vägen framåt », säger Kurt Bonne på Awingu.