Microsoft hiện đang thực hiện các bước để ngăn chặn các cuộc tấn công vũ phu Giao thức Máy tính Từ xa (RDP) như một phần của các bản dựng mới nhất cho hệ điều hành Windows 11 trong nỗ lực nâng cao đường cơ sở bảo mật để đáp ứng bối cảnh mối đe dọa đang phát triển.
Do đó, chính sách mặc định dành cho các bản dựng Windows 11 – đặc biệt là các bản dựng Insider Preview 22528.1000 và mới hơn – sẽ tự động khóa tài khoản trong 10 phút sau 10 lần đăng nhập không hợp lệ.
David Weston, phó chủ tịch bảo mật hệ điều hành và doanh nghiệp của Microsoft, cho biết trong một loạt tweet vào tuần trước: “Các bản dựng Win11 hiện có chính sách khóa tài khoản DEFAULT để giảm thiểu RDP và các vectơ mật khẩu bạo lực khác”. “Kỹ thuật này rất phổ biến được sử dụng trong Ransomware do Con người điều hành và các cuộc tấn công khác – sự kiểm soát này sẽ khiến việc cưỡng bức vũ phu trở nên khó khăn hơn nhiều, điều đó thật tuyệt vời!”
Cần chỉ ra rằng mặc dù cài đặt khóa tài khoản này đã được tích hợp trong Windows 10 nhưng nó không được bật theo mặc định.
Tính năng này, theo sau quyết định của công ty về việc tiếp tục chặn các macro của Ứng dụng Visual Basic (VBA) đối với tài liệu Office, cũng dự kiến sẽ được hỗ trợ cho các phiên bản Windows và Windows Server cũ hơn.
Ngoài các macro độc hại, truy cập RDP cưỡng bức từ lâu đã là một trong những phương pháp phổ biến nhất được các tác nhân đe dọa sử dụng để truy cập trái phép vào hệ thống Windows.
LockBit, một trong những băng đảng ransomware hoạt động tích cực nhất vào năm 2022, được biết là thường dựa vào RDP để có chỗ đứng ban đầu và các hoạt động tiếp theo. Các gia đình khác được thấy sử dụng cơ chế tương tự bao gồm Conti, Hive, PYSA, Crysis, SamSam và Dharma.
Khi triển khai ngưỡng mới này, mục tiêu là làm giảm đáng kể hiệu quả của vectơ tấn công RDP và ngăn chặn các cuộc xâm nhập dựa vào khả năng đoán mật khẩu và thông tin đăng nhập bị xâm phạm.
zscaler lưu ý: “RDP cưỡng bức là phương pháp phổ biến nhất được sử dụng bởi những kẻ đe dọa cố gắng truy cập vào hệ thống Windows và thực thi phần mềm độc hại,” Zscaler lưu ý vào năm ngoái.
“Các tác nhân đe dọa quét tìm […] mở công khai các cổng RDP để tiến hành các cuộc tấn công brute-force phân tán. Các hệ thống sử dụng thông tin xác thực yếu là mục tiêu dễ dàng và một khi bị xâm nhập, những kẻ tấn công sẽ bán quyền truy cập vào các hệ thống bị tấn công trên dark web cho các tội phạm mạng khác. “
Điều đó nói rằng, Microsoft, trong tài liệu của mình, cảnh báo về các cuộc tấn công từ chối dịch vụ (DoS) tiềm ẩn có thể được dàn dựng bằng cách lạm dụng cài đặt chính sách ngưỡng khóa tài khoản.
“Một người dùng độc hại có thể lập trình cố gắng thực hiện một loạt các cuộc tấn công bằng mật khẩu chống lại tất cả người dùng trong tổ chức”, công ty lưu ý. “Nếu số lần thử lớn hơn giá trị của ngưỡng khóa tài khoản, kẻ tấn công có thể khóa mọi tài khoản.”
.