چقدر زمان نیاز است تا به یک کامپیوتر متصل به اینترنت که پروتکل remote server در آن فعال است حمله شود؟ در برخی موارد فقط چند دقیقه ودر بیشتر موارد کمتر از ۲۴ ساعت.در سالهای اخیر تبهکاران سایبری که  باج افزار هایی مثل BitPaymer , Ryuk  ,Matrix  و SamSam را به کار میبرند تقریبا با استفاده از RDP راه های دیگر نفوذ به شبکه را متوقف کرده اند.این خلافکاران این انتخاب را دارند که خودشان پسورد ها را با استفاده از ابزارهایی مثل NLBrute  کرک کنند و یا پسورد های کرک شده توسط دیگران را بخرند ویا اکانت هایی را روی سرور های لو رفته RDP بخرند.

برای داشتن یک ایده کلی از این که سرور های RDP در معرض چه تعداد حمله در روز هستند نمونه های EC2 از Amazon بصورت پراکنده در ۱۰ منطقه جغرافیایی که دارای سیستم عامل Windows Server 2019 هستند در نظر گرفته شده اند که در آنها RDP فعال است ولی با prohibitively strong password یا به اختصار psp ایمن شده اند.

در مورد نمونه اولی طولی نکشید و در عرض یک دقیقه و بیست وچهار ثانیه با یک حمله RDP brute-force مورد هجوم قرار گرفت وفقط در یکی از نمونه ها زمانی معادل ۱۵ ساعت برای حمله صرف شد.

در مجموع در طول ماه که honeypot ها فعال بودند ۴.۲۹۸.۵۱۳  تلاش برای ورود نا موفق را ثبت کردند.

بعضی از هکر ها سراغ اکانت های ادمین رفتند و دیگران اکانت های کاربری سطح پایین را هدف قرار دادند به امید اینکه پسورد های آنها راحتتر بدست می آید.به منظور مخفی نگه داشتن فعالیت های خود هکر ها به آرامی شدت حمله را زیادتر می کردند ویا به صورت محدود وتصادفی حمله ها را صورت می دادند.مورد جالب توجه دیگر دراین تحقیق انجام شده این است که هکر ها برای شناسایی اهدافشون از Shodan -موتور جستجو برای لیست کردن دستگاه های متصل به اینترنت-  استفاده نکردند.در طول انجام تست هیچ کدام از honeypot ها در فهرست Shodan دیده نشدند وبه همین دلیل به سازمان ها پیشنهاد میشود که فقط به نتایج Shodan توجه نکنند چون اکثر هکر ها از این طریق قربانیان خود را پیدا نمی کنند.

سرویس های مبتنی بر RDP تکنولوژی بسیار خوبی برای سرپرستان سازمان ها وشرکت های بزرگ است که به آنها کمک می کند از طریق cloud ویا شبکه از راه دور به کامپیوتر ها وسرور ها دسترسی داشته باشند.

دو ماه پیش شرکت مایکروسافت در مورد آسیب پذیری BlueKeep یا CVE-2019-0708 هشدار داد.یک حفره امنیتی به شکل RCE در RDS  که انتظار میرفت به طور گسترده ای exploit شود.البته به عقیده کارشناسان هنوز exploit شدن این آسیب پذیری در حجم گسترده شروع نشده.

با این اوصاف  سرور های RDP با امنیت پایین یک هدف آسان برای تبهکاران تشنه پول قلمداد میشود که اغلب به آنها نفوذ کرده و از آنها برای انتشار بدافزار ها (معمولا باج افزار) در شبکه هدف استفاده میکنند.

در حالیکه راه حل ساده برای  مقابله با حمله brute-force به پسورد در RDP انتخاب پسورد های پیچیده وطولانی است متخصصین امید زیادی ندارند که این رویکرد به این زودی ها اتخاذ شود و این تغییر مستلزم اقدامات سرپرستان سازمان ها ،ارائه دهندگان سرویس های ابری ،شرکت مایکروسافت وتمام موارد مرتبط با RDP است.

مایکروسافت می تواند اهراز هویت دو مرحله ای را الزامی کند ویا سازوکار و ماهیت اهراز هویت را به کلی تغییر دهد مثلا استفاده از public key authentication.ارائه دهندگان سرویس های ابری میتوانند به سرورها فرم دیگری از remote administration و اهراز هویت را ارائه دهند.ولی تا زمانیکه این اقدامات صورت پذیرد سرپرستان  میتوانند به منظور کاهش خطرات، از اهراز هویت چندگانه استفاده کنند.هم چنین در این راستا می توانند اجازه ورود از طریق RDP را به admin های دامنه ندهند وفقط RDP را برای کسانیکه نیاز دارند فعال کنند.از اقدامات بیشتر میتوان امن کردن اکانت های  idle ،محدود کردن تعداد دفعات وارد کردن پسورد توسط هر کاربر و بررسی قدرت پسورد های وارد شده توسط کاربر را نام برد.

در نهایت اگر نیازی به RDP نیست باید غیر فعال شود و در صورت نیاز به آن باید فقط از طریق یک Virtual Private Network یا VPN  قابل دسترسی باشد.