针对微软 RDP 认证服务器的扫描激增

互联网情报公司 GreyNoise 报告称，其已记录到扫描活动显著激增，涉及近 1,971 个 IP 地址统一探测 Microsoft 远程桌面 Web 访问和 RDP Web 客户端身份验证门户，这表明这是一场协调一致的侦察活动。

研究人员表示，这是活动模式的巨大变化，该公司通常每天只看到 3-5 个 IP 地址执行此类扫描。

GreyNoise 表示，这波扫描活动正在测试计时缺陷，这些缺陷可用于验证用户名，为未来的基于凭据的攻击（例如暴力破解或密码喷射攻击）做准备。

计时缺陷是指系统或请求的响应时间无意中泄露敏感信息。在这种情况下，RDP 响应有效用户和无效用户登录尝试的速度存在微小计时差异，这可能允许攻击者推断用户名是否正确。

GreyNoise 还表示，有 1,851 个共享相同的客户端签名，其中大约 92% 已被标记为恶意。这些 IP 地址主要源自巴西，并针对美国的 IP 地址，这表明可能是一个单一的僵尸网络或工具集正在进行扫描。

研究人员表示，此次攻击的时间恰逢美国返校季，届时学校和大学可能会重新启用其 RDP 系统。

“这个时间点可能并非偶然。8 月 21 日正值美国返校季，大学和 K-12 教育机构会启用基于 RDP 的实验室和远程访问，并为数千个新账户提供服务，”GreyNoise 的 Noah Stone 解释道。

“这些环境通常使用可预测的用户名格式（例如学生 ID、名.姓），这使得枚举攻击更加有效。再加上预算限制以及在注册期间对可访问性的优先考虑，暴露风险可能会急剧上升。”

然而，扫描量的激增也可能表明已发现新的漏洞，因为 GreyNoise 此前发现，恶意流量的激增通常在新漏洞披露之前发生。

管理 RDP 门户和暴露设备的 Windows 管理员应确保其账户通过多因素身份验证得到妥善保护，如果可能，应将其置于 VPN 之后。