Microsoft: bruteforce RDP-aanvallen duren gemiddeld 2 tot 3 dagen

Microsoft publiceert de resultaten van een maandenlange studie naar bruteforce-aanvallen via het Remote Desktop Protocol (RDP) om vanop afstand toegang te krijgen tot een systeem.

Het Remote Desktop Protocol is een onderdeel van Windows om vanop afstand op een pc in te loggen via diens publieke IP-adres en poort 3389. RDP wordt vaak in bedrijven gebruikt door systeembeheerders om pc’s en servers te beheren, of door werknemers wanneer ze vanop locatie hun werkpc willen raadplegen.

Voor Microsofts onderzoek werd gedurende enkele maanden data verzameld en geanalyseerd van RDP-activiteit van meer dan 45.000 computers die beveiligd zijn met Microsoft Defender Advanced Threat Protection, de zakelijke versie van Microsofts Defender-antivirus.

Aanvallen op Windows-systemen met open RDP-poorten zijn in recente jaren almaar populairder geworden. Met behulp van lijsten met gelekte gebruikersnamen en wachtwoorden proberen aanvallers langs die weg op een geautomatiseerde manier de toegang tot een systeem te forceren.

Dagenlange aanvallen

Dergelijke bruteforce-aanvallen kunnen gemiddeld twee tot drie dagen duren, zo blijkt uit het onderzoek van Microsoft. Negen op tien aanvallen duren maximaal een week, terwijl vijf procent zelfs langer dan twee weken doorgaat.

Dat de aanvallen dagen in plaats van uren duren, betekent dat de aanvallers voorzichtig te werk gaan, om te vermijden dat hun IP-adressen worden geblokkeerd door de firewalls van bedrijven die ze aanvallen. In plaats van in één keer duizenden inlogcombinaties te proberen, worden een kleiner aantal combinaties per uur getest, waardoor de aanval langer duurt, maar het risico op detectie lager ligt.

0,08% succesvol

UIt de data die Microsoft vergaarde, blijkt dat ongeveer 0,08% van de bruteforce-aanvallen via RDP succesvol is. “Bovendien werd in alle gedurende meerdere maanden geanalyseerde ondernemingen gemiddeld om de 3-4 dagen ongeveer één machine gedetecteerd met een hoge waarschijnlijkheid te zijn gekraakt via een RDP-bruteforce-aanval”, schrijft het Microsoft Defender ATP Research Team in zijn analyse.

De onderzoekers besluiten uit hun studie dat succesvolle bruteforce-aanvallen via RDP niet ongewoon zijn. Hun advies luidt dan ook dat systembeheerders monitoren voor verdachte connecties en signalen van een mogelijke aanval. Denk daarbij bijvoorbeeld aan een bizarre timing en hoge frequentie van mislukte inlogpogingen,