Threat Spotlight : les outils de bureau à distance les plus ciblés par les pirates l’année dernière

Les logiciels de bureau à distance permettent aux employés de se connecter à leur réseau informatique sans être physiquement reliés à l’appareil hôte ni se trouver au même endroit. Ces outils sont très utiles pour les équipes distribuées ou dont les membres sont en télétravail. Malheureusement, les logiciels de bureau à distance constituent également une cible privilégiée pour les cyberattaques.

La multiplicité des outils disponibles, qui utilisent des ports différents, voire plusieurs, constitue l’un des défis de sécurité auxquels doivent faire face les équipes informatiques ayant adopté des logiciels de bureau à distance. Les ports sont des points de connexion virtuels qui permettent aux ordinateurs de distinguer les différents types de trafic. L’utilisation d’un grand nombre de ports peut compliquer la tâche des équipes de sécurité informatique, car elles doivent surveiller et repérer les connexions malveillantes et les intrusions qui s’ensuivent.

La méthode d’attaque la plus simple et la plus répandue contre les logiciels de bureau à distance est l’utilisation abusive d’identifiants faibles, réutilisés et/ou hameçonnés. Ces informations permettent à un pirate d’accéder immédiatement aux systèmes auxquels l’utilisateur a accès. Les mises en œuvre de logiciels de bureau à distance peuvent également être vulnérables à l’exploitation de bogues logiciels et à des scams liés au support technique.

Dans cet article, nous allons nous pencher sur les outils les plus courants, les ports associés et les moyens par lesquels les pirates peuvent y accéder. 

Les outils de bureau à distance les plus ciblés au cours des 12 derniers mois

 Virtual Network Computing (VNC) - Ports 5800+, 5900+

 Le système VNC, qui s’appuie sur le protocole RFB, est un outil largement utilisé, indépendamment du système d’exploitation. Cela permet aux utilisateurs et aux appareils de se connecter aux serveurs, quel que soit le système d’exploitation utilisé. Entre autres fonctions, le système VNC est utilisé comme logiciel de base pour les solutions de bureau à distance et le partage d’écran d’Apple. Il est également largement répandu dans les secteurs des infrastructures critiques, tels que les services publics, qui sont de plus en plus la cible de cyberattaques.

Selon les sources de données de Barracuda, VNC a été de loin l’outil de bureau à distance le plus ciblé l’année dernière, représentant 98 % du trafic sur tous les ports spécifiques aux bureaux à distance.

Plus de 99 % de ces tentatives d’attaque ont visé les ports HTTP. Les autres tentatives, à savoir 1 % des attaques, ont ciblé le protocole TCP (Transmission Control Protocol). Cela est probablement dû au fait que HTTP, le protocole utilisé pour accéder aux sites web, ne nécessite aucune authentification spécifique, contrairement au TCP, qui est utilisé pour l’échange de données entre les applications et les appareils.

La plupart des attaques observées contre le système VNC ont tenté de forcer des mots de passe faibles et réutilisés. La vulnérabilité CVE-2006-2369, qui permet à un pirate de contourner l’authentification de RealVNC 4.1.1, un logiciel vieux de 18 ans, a été la vulnérabilité la plus fréquemment ciblée par les attaques.

VNC propose plusieurs offres logicielles dont les caractéristiques et les fonctionnalités peuvent légèrement différer. Certaines offres imposent une limite de huit caractères pour les mots de passe, ce qui peut permettre aux pirates de les déchiffrer plus facilement. Par défaut, le trafic du système VNC n’est pas chiffré, mais certaines solutions utilisent un shell sécurisé, la méthode SSH ou un tunnel VPN pour chiffrer le trafic, ce qui contribue à renforcer la sécurité.

Le système VNC dispose d’une gamme de ports qu’il peut utiliser. Les ports de base sont 5800 pour les connexions TCP et 5900 pour le protocole HTTP, mais le numéro de l’écran (appelé N dans la spécification) est ajouté au port de base pour permettre la connexion à différents écrans. L’affichage physique est 0, ce qui correspond aux ports de base, mais les connexions et les attaques peuvent également utiliser des numéros de port plus élevés. Cela complique les choses du point de vue de la sécurité, car il n’y a pas un ou deux ports strictement définis à prendre en compte comme dans d’autres solutions de bureau à distance.

La source géographique des attaques est difficile à établir avec précision car de nombreux attaquants utilisent des proxys ou des VPN pour dissimuler leur véritable origine. Toutefois, dans le cadre de cette contrainte, il apparaît qu’environ 60 % du trafic malveillant ciblant le système VNC provenait de Chine.

Remote Desktop Protocol - Port 3389

RDP est un protocole propriétaire relativement courant créé par Microsoft pour une utilisation de bureau à distance. Le protocole RDP a représenté environ 1,6 % des tentatives d’attaques que nous avons détectées contre les outils de bureau à distance au cours de l’année écoulée. Cependant, les attaques plus importantes contre les réseaux et les données sont plus susceptibles d’impliquer le protocole RDP que le système VNC. 

Les attaques RDP sont souvent utilisées pour déployer des malwares, le plus souvent des ransomwares ou des cryptomineurs, ou pour exploiter des machines vulnérables dans le cadre d’attaques DDoS.

Environ une tentative d’attaque sur six (15 %) impliquait un cookie obsolète. Il peut s’agir d’une tactique délibérée pour aider les pirates à identifier des versions plus anciennes, et donc probablement plus vulnérables, du logiciel de RDP en vue de lancer d’autres attaques.

Comme d’autres services de bureau à distance, le protocole RDP est principalement ciblé par des attaques basées sur les identifiants. Cependant, quelques vulnérabilités graves ont été signalées au fil des ans, qui permettent l’exécution de code à distance (RCE) sur le système cible. Parmi les vulnérabilités notables, citons la vulnérabilité CVE-2018-0886, qui a affecté le fournisseur de support de sécurité des identifiants (CredSSP) utilisé pour l’authentification RDP ; la vulnérabilité CVE-2019-0708, connue sous le nom de BlueKeep, qui peut être transformée en ver (bien qu’aucun ver « in-the-wild » n’ait été signalé) ; et la vulnérabilité CVE-2019-0887, qui offrait aux pirates un moyen d’échapper aux instances de machine virtuelle Hyper-V pour accéder à l’hyperviseur.

Les acteurs malveillants peuvent également utiliser le RDP en vue d’obtenir des hachages de mots de passe pour des comptes plus privilégiés qui peuvent gérer des postes de travail. Cela peut se faire dans le cadre d’une attaque contre un système sur lequel un serveur RDP est activé, ou pour une augmentation des privilèges en activant le RDP sur un système qui a déjà été compromis par un pirate.

Cependant, malgré ces vulnérabilités RCE potentiellement à haut risque, la plupart des tentatives d’exploitation observées contre le RDP étaient des vulnérabilités de déni de service, qui ont représenté 9 % du trafic observé.

Le RDP est également ciblé par les attaques de « vishing » (hameçonnage vocal/par téléphone) relatives au support Microsoft qui visent à escroquer des utilisateurs en leur faisant croire que leur ordinateur présente des problèmes techniques qui peuvent être résolus en fournissant à l’acteur malveillant un accès au protocole RDP. Il existe également un marché clandestin pour les instances RDP vulnérables ou piratées que d’autres acteurs malveillants peuvent utiliser à leur guise et qui rapportent souvent plusieurs dollars par instance.

Les données suggèrent que la plupart des tentatives d’attaques contre le RDP proviennent d’Amérique du Nord (environ 42 % des attaques), suivie de la Chine et de l’Inde, même si, comme mentionné ci-dessus, l’utilisation de proxys ou de VPN peut masquer la source réelle des attaques.

TeamViewer - Port 5938

Les attaques ciblant TeamViewer ont représenté 0,1 % du trafic malveillant sur tous les ports de bureau distants couverts par nos sources de données. Les quelques attaques détectées ont impliqué la vulnérabilité Log4Shell et semblaient cibler le centre de gestion central de l’outil, le Frontline Command Center, qui a l’air d’être la seule application TeamViewer à utiliser Java.

Les versions les plus récentes de TeamViewer sont destinées aux entreprises et s’intègrent à Microsoft Teams, Salesforce et ServiceNow, entre autres outils. En tant que solution pour les entreprises, TeamViewer propose davantage de fonctions de sécurité telles que l’empreinte digitale de l’appareil, la génération automatique d’identifiants (qui empêche les mots de passe faibles ou réutilisés), le backoff exponentiel pour les identifiants incorrects (qui augmente le temps d’attente de manière exponentielle chaque fois que des identifiants incorrects sont utilisés, ce qui protège contre les attaques par force brute) et l’authentification multifactorielle (MFA). Tout le trafic entre le client et le serveur TeamViewer est également chiffré pour renforcer la sécurité.

Malgré ces protections, TeamViewer est encore parfois utilisé ou ciblé par des attaques. Cela est souvent dû à des identifiants piratés ou partagés de manière non sécurisée. TeamViewer est également parfois utilisé dans des spams liés au support technique.

Outre le port 5938, les ports 80 et 443 peuvent également être utilisés avec TeamViewer, ce qui peut compliquer la détection des connexions malveillantes sur le réseau par les équipes de sécurité.

Independent Computing Architecture (ICA) - Ports 1494, 2598

Le protocole de bureau à distance ICA a été créé par Citrix comme alternative au RDP, bien que les solutions Citrix utilisant ICA prennent généralement également en charge le RDP. Le port 1494 est utilisé pour les connexions ICA entrantes. Le protocole ICA peut également être encapsulé dans le Common Gateway Protocol de Citrix, qui utilise le port 2598. Certaines versions antérieures du client ICA comportaient des vulnérabilités RCE. Une vulnérabilité RCE plus générale, CVE-2023-3519, affectait également le proxy ICA et était utilisée par les pirates pour créer des shells web sur les systèmes concernés.

AnyDesk - Port 6568

AnyDesk est une autre solution de bureau à distance qui a été utilisée pour les scams liés au support technique ainsi que pour les scams liés à l’assistance des services bancaires mobiles. En 2018, la solution AnyDesk a été intégrée à quelques variantes de ransomwares, peut-être pour déconcerter les systèmes de détection quant au véritable objectif des malwares. Outre le port 6568, AnyDesk peut également utiliser les ports 80 ou 443.

Splashtop Remote - Port 6783

Bien qu’elle soit à l’origine de moins de tentatives d’attaques parmi les solutions de bureau à distance, la suite Splashtop Remote a tout de même été utilisée dans le cadre de scams liés à l’assistance. Elle peut également être compromise à l’aide d’identifiants faibles, réutilisés ou hameçonnés.

Réduction des risques

Les solutions de sécurité intégrées qui permettent de détecter le trafic suspect sur les ports du réseau sont indispensables. Ces dernières devraient être complétées par des politiques et des programmes de sécurité robustes, comme la restriction de l’accès aux services à distance à ceux qui en ont besoin, l’utilisation de connexions sécurisées telles qu’un VPN et la mise à jour régulière des logiciels pour intégrer les derniers correctifs. Les méthodes d’authentification devraient inclure l’utilisation de mots de passe forts, avec, au minimum, une authentification multifactorielle (MFA), idéalement en adoptant une approche Zero Trust.

La mise en place d’une solution unique de bureau à distance dans l’ensemble de l’organisation permettra à l’équipe informatique de concentrer ses ressources sur la gestion, la surveillance et la sécurisation des ports associés, en bloquant le reste du trafic.