Не е бавен интернет, а атака – хакерите използват „аритметиката на времето“, за да проникнат в сървърите на Windows
Как милисекундите унищожават удостоверяването.
GreyNoise засече неочакван и нехарактерен скок в разследващата активност против Microsoft Remote Desktop Web Access и RDP Web Client: 1971 неповторими IP адреса работеха по едно и също време, до момента в който компанията нормално вижда единствено 3-5 такива източника дневно.
Анализаторите считат, че синхронът и мащабът сочат към координирана акция, в която нападателите тестват държанието на порталите за засвидетелствуване и приготвят почвата за следващи офанзиви за обири на пароли. Един и същ потребителски „ пръстов отпечатък “ е следен в 1 851 случая, като към 92% от тези възли към този момент са маркирани като злонамерени. Основният трафик произлиза от Бразилия и поразява адреси в Съединени американски щати, което подхожда на хипотезата за обединен ботнет или общ инструментариум.
Целта на сканиращата вълна е да се търсят времеви офанзиви, при които микроскопичната разлика във времето за реакция несъзнателно издава сензитивна информация. Ако RDP уебпорталът реагира на опита за логване със съществуващо потребителско име малко по-бързо, в сравнение с поръчка към фиктивен консуматор, това дава опция да се удостовери валидността на логванията, без да се знае паролата – типичен канал за наблюдаване за един външен наблюдаващ на времето за отговор.
Що се отнася до времето на пика, откривателите показват 21-ви август – интервалът, в който стартира образователната година в Съединени американски щати. Това са дните, в които учебните заведения и университетите всеобщо покачват RDP услугите за отдалечените лаборатории, основават доста нови записи и краткотрайно слагат достъпността над твърдите ограничавания. В тези среди постоянно се употребяват предвидими схеми за влизане – от студентски идентификатори до шаблони „ име.фамилия “ – което в допълнение покачва успеваемостта на изброяването на имена. Бюджетните ограничавания в областта на образованието също играят роля: когато бързото свързване на хиляди консуматори е приоритет, постоянно се отсрочва обвързването на контрола и механизмите за сигурност.
GreyNoise акцентира, че сходни пикове в предишното постоянно предшестват общественото откриване на нови уязвимости. Дори в случай че това е единствено подготовка за следващи офанзиви на пароли, рисковете остават високи: потвърждаването на влизането в системата понижава зоната за търсене и усилва успеваемостта както на гметода на рубата мощ, по този начин и на разпръскването на пароли върху огромни масиви от сметки.
На админите на инфраструктурата на Windows се предлага неотложно да отстраняват простите сюжети за компрометиране. Минималната мярка е наложителната многофакторна автентификация за всички сметки, които имат достъп до RDP-уеб порталите, и преместването на тези портали зад VPN или други загради за отдалечения достъп. Освен това си коства да се ограничи вънният достъп до RD Web Access до описи с източници, да се задействат нападателни предели на опитите за логване и деликатно да се оценят всички разлики във времето за отговор, които могат да се трансфорат в приключване на информация по странични канали.
