Microsoft bổ sung tính năng bảo vệ mặc định chống lại các cuộc tấn công bạo lực RDP trong Windows 11

RDP Brute-Force Attacks

Microsoft hiện đang thực hiện các bước để ngăn chặn các cuộc tấn công vũ phu (RDP) như một phần của các bản dựng mới nhất cho hệ điều hành Windows 11 trong nỗ lực nâng cao đường cơ sở bảo mật để đáp ứng bối cảnh mối đe dọa đang phát triển.

Do đó, chính sách mặc định dành cho các bản dựng Windows 11 – đặc biệt là các bản dựng Insider Preview 22528.1000 và mới hơn – sẽ tự động khóa tài khoản trong 10 phút sau 10 lần đăng nhập không hợp lệ.

David Weston, phó chủ tịch bảo mật hệ điều hành và doanh nghiệp của Microsoft, cho biết trong một loạt tweet vào tuần trước: “Các bản dựng Win11 hiện có chính sách khóa tài khoản DEFAULT để giảm thiểu RDP và các vectơ mật khẩu bạo lực khác”. “Kỹ thuật này rất phổ biến được sử dụng trong do Con người điều hành và các cuộc tấn công khác – sự kiểm soát này sẽ khiến việc cưỡng bức vũ phu trở nên khó khăn hơn nhiều, điều đó thật tuyệt vời!”

Cần chỉ ra rằng mặc dù cài đặt khóa tài khoản này đã được tích hợp trong Windows 10 nhưng nó không được bật theo mặc định.

Tính năng này, theo sau quyết định của công ty về việc tiếp tục chặn các macro của Ứng dụng Visual Basic (VBA) đối với tài liệu Office, cũng dự kiến ​​sẽ được hỗ trợ cho các phiên bản Windows và Windows Server cũ hơn.

Xem tiếp:   Microsoft Windows Autopatch hiện đã có sẵn cho các hệ thống doanh nghiệp

Ngoài các macro độc hại, truy cập RDP cưỡng bức từ lâu đã là một trong những phương pháp phổ biến nhất được các tác nhân đe dọa sử dụng để truy cập trái phép vào hệ thống Windows.

LockBit, một trong những băng đảng ransomware hoạt động tích cực nhất vào năm 2022, được biết là thường dựa vào RDP để có chỗ đứng ban đầu và các hoạt động tiếp theo. Các gia đình khác được thấy sử dụng cơ chế tương tự bao gồm Conti, Hive, PYSA, Crysis, SamSam và Dharma.

Khi triển khai ngưỡng mới này, mục tiêu là làm giảm đáng kể hiệu quả của vectơ tấn công RDP và ngăn chặn các cuộc xâm nhập dựa vào khả năng đoán mật khẩu và thông tin đăng nhập bị xâm phạm.

Zscaler lưu ý: “RDP cưỡng bức là phương pháp phổ biến nhất được sử dụng bởi những kẻ đe dọa cố gắng truy cập vào hệ thống Windows và thực thi phần mềm độc hại,” Zscaler lưu ý vào năm ngoái.

“Các tác nhân đe dọa quét tìm […] mở công khai các cổng RDP để tiến hành các cuộc tấn công brute-force phân tán. Các hệ thống sử dụng thông tin xác thực yếu là mục tiêu dễ dàng và một khi bị xâm nhập, những kẻ tấn công sẽ bán quyền truy cập vào các hệ thống bị tấn công trên dark web cho các khác. “

Điều đó nói rằng, Microsoft, trong tài liệu của mình, cảnh báo về các cuộc tấn công từ chối dịch vụ (DoS) tiềm ẩn có thể được dàn dựng bằng cách lạm dụng cài đặt chính sách ngưỡng khóa tài khoản.

Xem tiếp:   Các chiến dịch phần mềm độc hại FluBot và TeaBot trên diện rộng nhắm mục tiêu đến các thiết bị Android

“Một người dùng độc hại có thể lập trình cố gắng thực hiện một loạt các cuộc tấn công bằng mật khẩu chống lại tất cả người dùng trong tổ chức”, công ty lưu ý. “Nếu số lần thử lớn hơn giá trị của ngưỡng khóa tài khoản, kẻ tấn công có thể khóa mọi tài khoản.”

.

Related Posts

Check Also

Cuộc tấn công của Evil PLC mới vũ khí hóa các PLC để xâm phạm mạng OT và mạng doanh nghiệp

Các nhà nghiên cứu an ninh mạng đã phát triển một kỹ thuật tấn công …