GreyNoise示警：大規模RDP掃描攻擊恐為新漏洞曝光前兆

資安研究機構 GreyNoise 發現，近期有將近 1,971 個 IP 位址同時掃描微軟遠端桌面網頁存取（Remote Desktop Web Access）和 RDP 網頁用戶端（Web Client）的驗證入口，顯示這是一場有組織、有計劃的資安偵察行動。

研究人員指出，此次攻擊規模遠超過平日僅見 3 至 5 個 IP 位址進行類似掃描的正常情況。這波攻擊主要針對系統的時間差異漏洞，藉此確認使用者帳號是否存在，為後續的憑證攻擊，如暴力破解或密碼噴灑攻擊鋪路。

時間差異漏洞（Timing Flaws）指系統或請求回應時間不經意洩露敏感資訊的情況。在此案例中，當 RDP 對有效帳號與無效帳號的登入嘗試回應速度有細微差異時，攻擊者便能推斷出特定使用者名稱是否存在。

值得注意的是，1,851 個 IP 位址共享同一用戶端特徵碼（Client Signature），其中約 92% 已被標記為惡意。這些 IP 位址主要源自巴西，且集中攻擊美國的 IP 位址，強烈暗示這是由單一殭屍網路（Botnet）或相同工具集所執行的協同掃描行動。

研究人員指出，此次攻擊時機與美國開學季精準吻合，正值學校和大學重新啟動遠端桌面協定（RDP）系統的關鍵時期。

GreyNoise 研究員 Noah Stone 解釋，8 月 21 日正處於美國開學期間，各大學和中小學紛紛啟用支援 RDP 的電腦教室和遠端存取服務，同時建立數千個新帳戶。這些教育環境通常採用可預測的帳號格式（如學號、姓名），大幅提高帳號列舉攻擊的效率。加上預算限制以及入學期間優先考慮系統可用性而非安全性，資安風險因而急劇攀升。

不過，這波掃描攻擊的突然增加也可能表示駭客已發現新的漏洞。GreyNoise 先前的研究顯示，惡意活動的突然激增通常是新漏洞即將公開的前兆。

Windows 系統管理員應在管理 RDP 入口網站和對外開放設備時，實施多因素驗證(MFA)以確保帳戶安全。此外，建議將這些服務放置在 VPN 後方，提供額外的防護層級。

本文轉載自 BleepingComputer。