最近，在9月27日，我們看到美國FBI旗下IC3發出警告，企業必須特別關注RDP遠端桌面的攻擊，在近期變得越來越嚴重。

在這次公告中，IC3說明了幾個可能被利用的弱點，包括
●用戶使用弱密碼的問題
●舊版本RDP，可能引發潛在的中間人攻擊
●允許TCP 3389傳輸埠可不受限制任意存取
●允許用戶帳戶可無限次的登入嘗試

「IC3建議企業應該嚴格控管該協定的使用，在不使用時記得關閉，確認所有具備公開IP的虛擬機器未開啟RDP傳輸埠，採用強密碼與雙因素驗證，以及啟用包含RDP登入在內的紀錄功能等。」

===
在此之前，今年7月也有資安業者McAfee指出，暗網上存在許多販售RDP存取權限的賣家，而所兜售RDP可存取的系統也很多樣化，不乏IoT裝置及政府、醫院、機場的系統

此外，在8月國內一場資安論壇的議程中，我們也看到資安業者趨勢科技談到，像是遠端桌面RDP工具帶來了方便性，但也成為駭客喜歡用的方式。
在實際案例中，駭客藉由入侵某公司的網頁伺服器，並上傳一個只用於轉Port的程式(非後門程式)，例如將192.168.1.20 Port 80轉送192.168.1.40 Port 3389，接下來駭客就直接透過RDP，從外部到內部伺服器，並將檔案藉由掛上的磁碟拷貝走。

#遠端桌面RDP工具帶來了方便性
#但也成為駭客喜歡用的方式

過去幾年來，我們已經看到不少新聞，是駭客利用遠端桌面協議（RDP），提供可被入侵的醫院、學校、航空公司和政府機關伺服器，並在公開的地下市集販賣。

最近，McAfee進階威脅研究小組，特別針對數個販售可被入侵RDP服務器的市集，並對這些「商品」內容做了分析。其中，這些銷售的RDP受害裝置數量，小的有15個，大的為40,000臺，涵蓋物聯網裝置、政府機構、醫院及國際機場的IT系統遠端存取，而價格從3美元到19元美元不等。

而且，研究人員特別指出，他們在數家市集上，發現了屬於一家主要國際機場的IP位址。他們在一臺Windows Server 2008伺服器上，發現兩個機場重要設施相關的帳號，一是安全及建築自動化系統，二是攝影監控及影像分析系統。而這個機場另一臺電腦上，則可看到機場聯外自動運輸系統的登入帳號。駭客不用撰寫零時差攻擊、或發動網釣郵件或水坑式攻擊，只要10美元就可以買到這些系統名單。

【重啟 Microsoft 365 雲端，McAfee 博得信譽！】

自從 Intel 獨立出來後，McAfee 成為全球大規模單一經營安全網路的公司之一。透過 Microsoft 365 工具，如 Azure AD 提供的單一登入功能、Teams 的協同合作，讓 McAfee 數位轉型的園地更加鞏固、重塑更佳的生產力！

瞭解更多：http://bit.ly/2MjgDUN