ความเสี่ยงด้านความปลอดภัยของ RDP

RDP คืออะไร?

RDP หรือ Remote Desktop Protocol เป็นหนึ่งในโปรโตคอลหลักที่ใช้สำหรับเซสชันเดสก์ท็อประยะไกล นั่นคือเวลาที่พนักงานเข้าถึงเดสก์ท็อปในสำนักงานจากอุปกรณ์อื่น RDP รวมอยู่ในระบบปฏิบัติการ Windows ส่วนใหญ่และสามารถใช้กับ Mac ได้เช่นกัน บริษัทหลายแห่งพึ่งพา RDP เพื่อให้พนักงานของตนสามารถทำงานจากที่บ้านได้

RDP (Remote Desktop Protocol) เป็นหนึ่งในโปรโตคอลหลักที่ใช้สำหรับเซสชันเดสก์ท็อประยะไกล

ช่องโหว่ด้านความปลอดภัยหลักของ RDP คืออะไร?

ช่องโหว่คือข้อผิดพลาดในวิธีสร้างซอฟต์แวร์ ทำให้ผู้โจมตีสามารถเข้าถึงโดยไม่ได้รับอนุญาต คิดว่าสิ่งนี้เป็นการติดตั้งกลอนที่ไม่ถูกต้องที่ประตูหน้าบ้าน เพื่อให้อาชญากรเข้ามาได้

นี่คือช่องโหว่ที่สำคัญที่สุดใน RDP:

1. ข้อมูลรับรองผู้ใช้ที่อ่อนแอ

คอมพิวเตอร์เดสก์ท็อปส่วนใหญ่มีการป้องกันด้วยรหัสผ่าน และผู้ใช้สามารถตั้งค่านี้เป็นสิ่งที่ต้องการได้ ปัญหาคือผู้ใช้มักจะใช้รหัสผ่านเดียวกันนั้นสำหรับการเข้าสู่ระบบระยะไกลของ RDP เช่นกัน โดยทั่วไปบริษัทต่างๆ จะไม่จัดการรหัสผ่านเหล่านี้เพื่อให้มั่นใจในความรัดกุม และมักจะปล่อยให้การเชื่อมต่อระยะไกลเหล่านี้เปิดรับการ โจมตีแบบ Brute ForceหรือCredential Stuffing

• สรุปวิธีสร้างรหัสผ่านที่รัดกุมและจัดการรหัสผ่านให้ปลอดภัยที่สุด

2. การเข้าถึงพอร์ตไม่ จำกัด

การเชื่อมต่อ RDP มักจะเกิดขึ้นที่พอร์ต 3389* ผู้โจมตีอาจสันนิษฐานได้ว่านี่คือพอร์ตที่ใช้งานอยู่และกำหนดเป้าหมายให้ทำการโจมตี

* ในเครือข่าย เกตเวย์คือตำแหน่งเชิงตรรกะที่ใช้ซอฟต์แวร์ซึ่งกำหนดให้กับการเชื่อมต่อบางประเภท การกำหนดกระบวนการที่แตกต่างกันให้กับพอร์ตต่างๆ ช่วยให้คอมพิวเตอร์ติดตามกระบวนการเหล่านั้นได้ ตัวอย่างเช่น การรับส่งข้อมูล HTTP จะไปที่พอร์ต 80 เสมอ ในขณะที่ การรับส่งข้อมูล HTTPSจะไปที่พอร์ต 443

วิธีแก้ไขช่องโหว่ RDP เหล่านี้มีอะไรบ้าง

• เพื่อลดความแพร่หลายของข้อมูลรับรองที่ไม่รัดกุม:

การลงชื่อเพียงครั้งเดียว (SSO)

บริษัทหลายแห่งใช้บริการ SSO เพื่อจัดการข้อมูลการเข้าสู่ระบบของผู้ใช้สำหรับแอปพลิเคชันต่างๆ SSO ช่วยให้บริษัทต่างๆ มีวิธีที่ง่ายกว่าในการบังคับใช้รหัสผ่านที่รัดกุม รวมทั้งใช้มาตรการที่ปลอดภัยยิ่งขึ้น เช่นการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA ) การเข้าถึงระยะไกล RDP สามารถย้ายอยู่เบื้องหลังกระบวนการ SSO เพื่อแก้ไขช่องโหว่ในการเข้าสู่ระบบของผู้ใช้ที่อธิบายไว้ข้างต้น

การจัดการและการบังคับใช้รหัสผ่าน

สำหรับบางบริษัท การย้ายการเข้าถึงระยะไกล RDP เบื้องหลังกระบวนการ SSO อาจไม่ใช่ทางเลือก อย่างน้อยที่สุด บริษัทเหล่านี้ควรกำหนดให้พนักงานรีเซ็ตรหัสผ่านเดสก์ท็อปของตนเป็นรหัสผ่านที่รัดกุมยิ่งขึ้น

• เพื่อป้องกันการโจมตีตามพอร์ต:

ล็อคพอร์ต 3389

ซอฟต์แวร์ทันเนลที่ปลอดภัยสามารถช่วยป้องกันไม่ให้ผู้โจมตีส่งคำขอไปยังพอร์ต 3389 ได้ เมื่อใช้ทันเนลที่ปลอดภัย คำขอใด ๆ ที่ไม่ผ่านทันเนลจะถูกบล็อก

กฎไฟร์วอลล์

ไฟร์วอลล์ขององค์กรสามารถกำหนดค่าด้วยตนเองเพื่อไม่ให้การรับส่งข้อมูลบนพอร์ต 3389 สามารถผ่านได้ ยกเว้นการรับส่งข้อมูลจาก ช่วงที่ อยู่ IP ที่อนุญาต (เช่น อุปกรณ์ที่ทราบว่าเป็นของพนักงาน)

อย่างไรก็ตาม วิธีการนี้ต้องใช้ความพยายามอย่างมากและยังคงมีความเสี่ยงอยู่หากผู้โจมตีแย่งชิงที่อยู่ IP ที่ได้รับอนุญาตหรืออุปกรณ์ของพนักงานถูกบุกรุก นอกจากนี้ การระบุและเปิดใช้งานอุปกรณ์ของพนักงานทั้งหมดล่วงหน้ามักจะเป็นเรื่องยาก ซึ่งนำไปสู่การร้องขอด้านไอทีจากพนักงานที่ถูกบล็อกอย่างต่อเนื่อง

RDP ยังมีช่องโหว่อื่นๆ อีกจำนวนหนึ่ง และส่วนใหญ่สามารถกำจัดได้โดยใช้โปรโตคอลเวอร์ชันล่าสุดเสมอ

RDP มีช่องโหว่อื่นใดอีกบ้าง?

RDP มีช่องโหว่ด้านเทคนิคอื่นๆ ที่ได้รับการติดตั้งทางเทคนิคแล้ว แต่ยังคงมีความร้ายแรงอยู่หากปล่อยทิ้งไว้โดยไม่ตรวจสอบ

ช่องโหว่ที่ร้ายแรงที่สุดประการหนึ่งใน RDP เรียกว่า "BlueKeep" BlueKeep (จัดอย่างเป็นทางการเป็น CVE-2019-0708) เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดใดๆ ที่พวกเขาต้องการบนคอมพิวเตอร์ หากพวกเขาส่งคำขอที่สร้างขึ้นเป็นพิเศษไปยังพอร์ตที่ถูกต้อง (ปกติคือ 3389) BlueKeep เป็นเวิร์มได้ซึ่งหมายความว่ามันสามารถแพร่กระจายไปยังคอมพิวเตอร์ทุกเครื่องในเครือข่ายโดยไม่ต้องดำเนินการใดๆ จากผู้ใช้

การป้องกันที่ดีที่สุดต่อช่องโหว่นี้คือการปิดการใช้งาน RDP เว้นแต่จำเป็น การบล็อกพอร์ต 3389 โดยใช้ไฟร์วอลล์อาจช่วยได้เช่นกัน ในที่สุด Microsoft ได้เปิดตัวแพตช์เพื่อแก้ไขช่องโหว่นี้ในปี 2562 และผู้ดูแลระบบจำเป็นต้องติดตั้งแพตช์นี้

เช่นเดียวกับโปรแกรมหรือโปรโตคอลอื่นๆ RDP ยังมีช่องโหว่อื่นๆ และช่องโหว่เหล่านี้ส่วนใหญ่สามารถกำจัดได้โดยใช้โปรโตคอลเวอร์ชันล่าสุดเสมอ ผู้จำหน่ายมักจะแก้ไขช่องโหว่ในซอฟต์แวร์เวอร์ชันใหม่แต่ละเวอร์ชันที่เผยแพร่