Het Amerikaanse Cybersecurity and Infrastructure Security Agency raadt netwerkbeheerders aan het Remote Desktop Protocol volledig uit te schakelen nadat hackers het misbruikten voor spearphishingaanvallen. Dat een organisatie aanraadt RDP helemaal uit te zetten, is opvallend.
CISA waarschuwt in een advisory voor aanvallen van 'een buitenlandse threat actor'. CISA zegt dat aanvallers gerichte phishingaanvallen uitvoeren op organisaties om bestanden van netwerken te stelen. In sommige gevallen sturen de aanvallers ook malware mee om permanentere toegang tot het netwerk te krijgen. Het gaat om een aanval van Russische hackers waarvoor Microsoft eerder al waarschuwde.
De organisatie raadt om die reden onder andere aan het Remote Desktop Protocol uit te schakelen. Het RDP wordt gebruikt om op afstand toegang te krijgen tot netwerken, maar in de praktijk wordt de tool vaak misbruikt door aanvallers. "Het wordt sterk aangeraden voor organisaties om naar buiten verwijzende RDP-verbindingen naar externe netwerken te verbieden of significant te beperken", schrijft CISA. Ook zouden organisaties moeten voorkomen dat bestanden via RDP in webclients en webmaildiensten worden verstuurd. Ze moeten daarnaast voorkomen dat eindgebruikers RDP-bestanden kunnen openen of uitvoeren.
CISA raadt ook andere maatregelen aan om veilig te blijven voor de aanvallen. Dit omvat bijvoorbeeld het instellen van multifactorauthenticatie en het opzetten van endpointbeveiligingssoftware. Dat de organisatie aanraadt RDP helemaal te blokkeren, is echter het opvallendst. RDP komt al jaren steeds meer onder vuur te liggen omdat het een van de belangrijkste aanvalsmethoden voor hackers is. Toch raden maar weinig organisaties daadwerkelijk aan RDP compleet uit te schakelen. Dat CISA daar nu toch voor pleit, lijkt een kentering in de manier waarop beveiligingsorganisaties het protocol behandelen.