Rapid7警告声明：远程桌面协议（RDP）暴露数百万 Windows 终端

近日，根据Rapid7 公司安全专家进行的一项研究结果显示，截至今年7月，全球仍有410万个远程桌面协议（RDP）终端公开暴露在网络上。研究人员发现，一共有1100万个开放的3389 / TCP终端，其中410万个是远程桌面协议（RDP）开放终端。

关于远程桌面协议（RDP）

远程桌面协议（RDP）是一个多通道（multi-channel）的协议，让使用者（所在计算机称为用户端或“本地计算机”）连上提供微软终端机服务的计算机（称为服务端或“远程计算机”）。大部分的Windows版本都有用户端所需软件，有些其他操作系统也有这些用户端软件，例如Linux、FreeBSD、MacOSX，服务端计算机方面，则听取送到TCPport3389的数据。

远程桌面协议安全隐患

今年5月，Rapid7公司曾发布过另一项研究报告，揭示了数百万设备正是因为SMB、Telnet、RDP以及其他类型的配置错误遭受网络攻击。该报告指出，2016年初有约1080万个RDP终端，而到了今年第一季度，这一数字降到了720万个。

研究人员指出，即使用户在 Windows 上默认禁用 RDP 协议，它通常也会继续在内部网络中发挥运行与维护的作用。但是该协议存在严重的安全隐患，微软在过去15年间已经处理了几十处RDP漏洞，具体如下所示：

MS99-028: Terminal Server Connection Request Flooding Vulnerability

MS00-087: Terminal Server Login Buffer Overflow Vulnerability

MS01-052: Invalid RDP Data Can Cause Terminal Service Failure

MS02-051: Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure

MS05-041: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution

MS11-017: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS11-061: Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege

MS11-065: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution

MS12-036: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS12-053: Vulnerability in Remote Desktop Could Allow Remote Code Execution

MS13-029: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution

MS14-030: Vulnerability in Remote Desktop Could Allow Tampering

MS14-074: Vulnerability in Remote Desktop Protocol Could Allow Security Feature Bypass

MS15-030: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service

MS15-067: Vulnerability in RDP Could Allow Remote Code Execution

MS15-082: Vulnerabilities in RDP Could Allow Remote Code Execution

MS16-017: Security Update for Remote Desktop Display Driver to Address Elevation of Privilege

MS16-067: Security Update for Volume Manager Driver

报告指出，

从安全角度来看，RDP的历史是多样的，自2002年以来，微软已经针对RDP发布了至少20个安全更新程序，至少修复了24个与RDP相关的安全漏洞（CVE）。

最近一次发现的漏洞是今年4月份影子经纪人（ShadowBrokers）泄漏的一个国家安全局（NSA）安全漏洞—— EsteemAudit（漏洞编号CVE-2017-0176），其攻击目标就是包括Microsoft Windows Server 2003 / Windows XP在内的Windows全版本操作系统的远程桌面协议服务（端口3389）。据估计，约有超过24，000个系统受到EsteemAudit漏洞威胁，所以，微软公司不得不为不再受支持的Microsoft Windows Server 2003 / Windows XP系统发布了安全更新程序，以解决影子经纪人泄漏的漏洞问题。

显然，远程桌面协议攻击已经成为恶意软件分发的特权攻击向量，尤其是勒索软件。目前，已经有很多恶意软件开始使用远程桌面协议（CrySiS、 Dharma以及SamSam）作为攻击源来感染系统，EsteemAudit漏洞使得这些威胁变得更具攻击性和危险性。

暴露RDP端点分布

根据Rapid7 的研究报告显示，大多数暴露的远程桌面协议端点（28.8％，或超过 110万）位于美国，中国紧随其后（17.7％，约 73 万），接着是德国（4.3％，约 177,000）、巴西（3.3％，约 137,000）以及韩国（3.0％，约 123,000）。

此外，安全专家还注意到，与暴露的远程桌面协议端点相关联的 IP 地址组织，大多数属于亚马逊（318，234个，约占7.73％），其次是阿里巴巴（280，082个，约占6.8％）、微软（204，138个，约占4.96％）、中国电信（177，749个，约占4.32％）以及Comcast（85，414个，约占2.07%）等。

一般情况下，系统不会主动开启RDP功能，而且在2012年微软提供了网络等级认证功能（Network Level Authentication，NLA），用户建立远程桌面连接时，系统会要求认证，只有用户认证成功才能顺利启动该程序，增加了黑客利用RDP终端入侵电脑的难度。

然而，研究人员分析发现，绝大多数（83%）的用户使用RDP时会采用SSL/TLS加密传输方式，甚至也会启动“认证安全性服务提供者”（CredSSP）功能来认证，但仍有15%的用户坚持仅使用易遭到中间人攻击的“标准远程桌面协议安全”（Standard RDP Security）功能。