インターネットインテリジェンス企業GreyNoiseは、Microsoft Remote Desktop Web AccessおよびRDP Web Clientの認証ポータルを一斉に調査する、1,971件近くのIPアドレスによるスキャン活動の大幅な増加を記録したと報告しています。これは協調的な偵察キャンペーンが行われていることを示唆しています。
研究者によると、これは大きな活動の変化であり、通常この種のスキャンを行うIPアドレスは1日に3~5件程度しか観測されていないとのことです。
GreyNoiseは、このスキャンの波はユーザー名を検証するために利用可能なタイミングの脆弱性をテストしており、今後のブルートフォース攻撃やパスワードスプレー攻撃など、認証情報を狙った攻撃の準備であると述べています。
タイミングの脆弱性は、システムやリクエストの応答時間が意図せず機密情報を漏らしてしまう場合に発生します。今回の場合、有効なユーザーと無効なユーザーでRDPがログイン試行に応答する速度にわずかな違いがあると、攻撃者がユーザー名が正しいかどうかを推測できてしまいます。
GreyNoiseはまた、1,851件が同じクライアント署名を共有しており、そのうち約92%がすでに悪意のあるものとしてフラグ付けされていると述べています。これらのIPアドレスの大半はブラジルから発信され、米国内のIPアドレスを標的にしていることから、単一のボットネットまたはツールセットによるスキャンである可能性が示唆されます。
出典: GreyNoise
研究者によると、この攻撃のタイミングは米国の新学期シーズンと重なっており、学校や大学がRDPシステムを再稼働させている可能性があります。
「このタイミングは偶然ではないかもしれません。8月21日は米国の新学期シーズンの真っただ中であり、大学やK-12(幼稚園から高校まで)がRDPを利用したラボやリモートアクセスをオンライン化し、何千もの新しいアカウントを導入する時期です」とGreyNoiseのNoah Stone氏は説明しています。
「これらの環境では、(学生IDやfirstname.lastnameなど)予測しやすいユーザー名形式がよく使われるため、列挙攻撃がより効果的になります。さらに、予算の制約や新規登録時の利便性が優先されることで、露出が急増する可能性があります。」
しかし、スキャンの急増は新たな脆弱性が発見されたことを示している可能性もあり、GreyNoiseは過去に、悪意のあるトラフィックの急増が新たな脆弱性の公表に先行して発生することが多いと指摘しています。
RDPポータルや公開デバイスを管理しているWindows管理者は、アカウントが多要素認証で適切に保護されていることを確認し、可能であればVPNの背後に配置するようにしてください。
