网络安全公司GreyNoise近日警告称,已观测到近1,971个IP地址对Microsoft Remote Desktop Web Access和RDP Web Client认证门户发起协同扫描,这一数字远高于以往每日仅有3到5个IP的常态。这一波扫描重点在测试RDP服务的响应时序漏洞,通过分析登录响应时间差,攻击者有可能推断用户名的有效性,为后续的暴力破解或密码喷洒等凭证攻击做准备。
GreyNoise补充称,大约1,851个地址使用相同的客户端签名,92%已被标记为恶意源,大部分流量源自巴西,主要针对美国目标,推测可能是某一波特网或工具集在全球范围内开展协同行动。
此次扫描恰逢美国新学年开学,学校与高校重新上线RDP系统并启用大量新账号,这些系统常采用规则化的用户名格式,安全防护易被忽视。GreyNoise专家Noah Stone指出,受预算与开放需求影响,此时风险尤为突出。同时,恶意扫描激增往往也可能预示尚未披露的新漏洞。
安全专家建议,RDP相关服务应启用多因素认证,并尽可能部署在VPN之后,以降低攻击风险。