Microsoft добавляет стандартную защиту от RDP-атак в Windows 11

В настоящее время Microsoft предпринимает шаги для предотвращения атак методом перебора протокола удаленного рабочего стола (RDP) в рамках последних сборок операционной системы Windows 11, пытаясь повысить базовый уровень безопасности, чтобы соответствовать меняющемуся ландшафту угроз.

С этой целью политика по умолчанию для сборок Windows 11, в частности для сборок Insider Preview 22528.1000 и новее, автоматически блокирует учетные записи на 10 минут после 10 неверных попыток входа.

«Сборки Win11 теперь имеют политику блокировки учетной записи ПО УМОЛЧАНИЮ, чтобы смягчить RDP и другие векторы грубой силы паролей», — сказал Дэвид Уэстон, вице-президент Microsoft по безопасности ОС и предприятиям, в серии твитов на прошлой неделе. «Эта техника очень часто используется в программах-вымогателях, управляемых людьми, и других атаках — этот контроль значительно усложнит брутфорс, и это здорово!»

Стоит отметить, что, хотя этот параметр блокировки учетной записи уже включен в Windows 10, он не включен по умолчанию.

Ожидается, что эта функция, появившаяся после решения компании возобновить блокировку макросов приложений Visual Basic (VBA) для документов Office, будет перенесена в более ранние версии Windows и Windows Server.

Помимо вредоносных макросов, доступ по RDP с использованием грубой силы уже давно является одним из самых популярных методов , используемых злоумышленниками для получения несанкционированного доступа к системам Windows.

Известно, что LockBit, одна из самых активных групп вымогателей в 2022 году, часто полагается на RDP для начальной точки опоры и последующих действий. Другие семейства, использующие тот же механизм, включают Conti , Hive , PYSA , Crysis , SamSam и Dharma .

При внедрении этого нового порога цель состоит в том, чтобы значительно снизить эффективность вектора атаки RDP и предотвратить вторжения, основанные на подборе пароля и скомпрометированных учетных данных.

«Перебор RDP — наиболее распространенный метод, используемый злоумышленниками, пытающимися получить доступ к системам Windows и запустить вредоносное ПО», — отметил Zscaler в прошлом году.

«Субъекты угроз сканируют […] общедоступные порты RDP для проведения распределенных атак грубой силы. Системы, использующие слабые учетные данные, являются легкой мишенью, и после взлома злоумышленники продают доступ к взломанным системам в темной сети другим киберпреступникам. .»

Тем не менее, Microsoft в своей документации предупреждает о потенциальных атаках типа «отказ в обслуживании» (DoS), которые могут быть организованы путем злоупотребления параметром политики порога блокировки учетной записи.

«Злоумышленник может программно попытаться провести серию атак на пароли всех пользователей в организации», — отмечает компания. «Если количество попыток превышает значение порога блокировки учетной записи, злоумышленник потенциально может заблокировать каждую учетную запись».