1. 远程桌面脆弱点

2018年9月27日，IC3发布了针对Windows远程桌面协议(RDP)脆弱点的攻击活动变得活跃的预警，相关信息参考：
https://www.ic3.gov/media/2018/180927.aspx
根据公告，主要为远程桌面协议(RDP)未加固安全配置（非新的漏洞）引发的攻击尝试，虽然针对远程桌面协议(RDP)的攻击活动历史上一直都有，但随着近年来勒索软件的多样发展，远程桌面成为了勒索软件经营团伙比较偏爱的入口，目前网上存在大量开放了远程桌面协议(RDP)的主机，RDP服务默认端口为：TCP 3389，建议尽快做好安全加固配置，以防止被恶意攻击。

2. 脆弱点描述

远程桌面协议(RDP)的未加固安全配置主要存在以下脆弱点：

弱密码，当给用户账号设置的密码为字典单词或不同时包含大写、小写字母，数字和特殊字符的混合密码时，容易受到暴力破解攻击；

未更新的RDP版本使用的CredSSP（凭证安全支持提供程序）协议存在比较新的漏洞（CVE-2018-0886），容易导致被中间人攻击从而被截取到用户密码；

面向互联网不受限制的开放远程桌面协议3389端口，容易导致被僵尸网络自动扫描到端口并加入暴力破解目标任务清单；

未对登录失败尝试次数做限制，容易受到暴力破解攻击。

3.影响版本范围

主要影响开启了远程桌面协议(RDP)又未对其安全加固的Windows系统，已知以下勒索蠕虫利用了RDP做为目标攻击：

CrySiS勒索软件：通过扫描RDP端口并暴力破解密码，成功破解密码后植入勒索软件并执行加密，然后要求支付比特币解密；

CryptON勒索软件：通过扫描RDP端口并暴力破解密码，成功破解密码后攻击者登录系统手动执行加密，然后要求支付比特币解密；

Samsam勒索软件：Samsam使用多种攻击方式，扫描RDP端口并暴力破解密码是其中之一，成功破解密码后攻击者登录系统手动执行加密，然后要求支付比特币解密；

暗网交易：暗网（Dark Web）上有用户公开叫卖开放远程桌面协议(RDP)的Windows主机权限。

4. 缓解措施（安全运营建议）

高危：目前针对远程桌面协议(RDP)的攻击活动变得活跃，建议尽快做好安全加固配置。

安全运营建议：

如果需要开启远程桌面进行系统管理，建议开启系统防火墙或IP安全策略限制来源IP，即只允许指定IP访问。

启用本地安全策略（账户策略-密码策略），建议开启密码必须符合复杂性要求和长度最小值，以及启用账户锁定阀值。

考虑使用双因素身份验证措施，比如启用动态Key方式。

保持系统安全更新补丁为最新状态，远程桌面协议(RDP)为内核服务，安装安全更新补丁后需要重启系统生效。

开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档，以便预警和分析其入侵企图。