Credit image: Pixabay
Serangan Massal Menargetkan Protokol RDP Microsoft – Layanan Remote Desktop Protocol (RDP) Microsoft baru-baru ini menjadi sasaran pemindaian berbahaya dari puluhan ribu alamat IP.
Lonjakan aktivitas ini mengindikasikan adanya kampanye serangan terarah yang kemungkinan menargetkan kerentanan zero-day baru.
Peneliti keamanan siber belum lama ini melaporkan lonjakan besar pemindaian RDP dari hampir 2.000 alamat IP pada 21 Agustus.
Sebagian besar alamat IP ini sudah dikenal sebagai alamat berbahaya. Pemindaian ini secara simultan menyasar portal otentikasi Microsoft RD Web Access dan Microsoft RDP Web Client.
|
Baca juga: MadeYouReset Teknik Serangan DoS Baru pada HTTP/2 |
Tujuan Serangan Besar-besaran
Tujuan gelombang serangan ini jelas, menguji kelemahan waktu yang dapat mengungkapkan nama pengguna yang valid, meletakkan dasar untuk intrusi berbasis kredensial.
Tidak lama setelah publikasi laporan, para peneliti mengidentifikasi gelombang pemindaian kedua yang lebih masif pada 24 Agustus, yang melibatkan lebih dari 30.000 alamat IP. Kedua gelombang serangan ini secara eksklusif menargetkan endpoint di Amerika Serikat.
Untuk memberikan gambaran seberapa besar lonjakan ini, peneliti biasanya mendeteksi pemindaian RDP dari tiga hingga lima alamat IP per hari.
Waktu serangan ini, yang bertepatan dengan musim kembali ke sekolah di AS, menunjukkan bahwa sektor pendidikan mungkin menjadi sasaran utama.
|
Baca juga: Ratusan Laptop Dell Rentan terhadap Serangan yang Sulit Dihapus |
Sinyal Kerentanan Zero-Day di Masa Depan
Lonjakan pemindaian sebesar ini sering kali menjadi pertanda adanya kerentanan baru. Sebuah penelitian menunjukkan bahwa 80% kasus kerentanan baru muncul dalam waktu enam minggu setelah terjadi lonjakan aktivitas serangan.
RDP sendiri telah menjadi permukaan serangan populer bagi berbagai jenis penyerang dalam beberapa tahun terakhir, termasuk aktor negara-bangsa.
Serangan yang memanfaatkan RDP bervariasi, mulai dari spionase siber hingga kampanye global yang mengeksploitasi kerentanan seperti BlueKeep.
Bahkan jika kerentanan zero-day baru tidak muncul, pemindaian RDP massal ini tetap menjadi masalah mendesak bagi organisasi.
Pemindaian ini bertujuan untuk mengidentifikasi endpoint yang memiliki RDP terbuka dan memeriksa alur otentikasi. Data yang dikumpulkan dapat digunakan untuk serangan selanjutnya, seperti serangan password spraying atau credential stuffing.
Ancaman ini bahkan lebih serius bagi sektor pendidikan. Lingkungan di sektor ini sering menggunakan format nama pengguna yang mudah ditebak (seperti ID siswa atau nama.belakang), yang membuat serangan enumerasi menjadi lebih efektif.
Kombinasi dari keterbatasan anggaran dan prioritas pada aksesibilitas selama masa pendaftaran membuat sektor ini sangat rentan.
Dengan demikian, tim IT di sektor pendidikan dan lainnya harus segera memperkuat RDP mereka dan mewaspadai aktivitas lanjutan dari tanda tangan klien yang sama.
Sumber berita:
