Microsoft prend désormais des mesures pour empêcher les attaques par force brute contre le Remote Desktop Protocol (RDP) de Windows 11, afin d’élever le niveau de sécurité de base pour répondre à l’évolution du paysage des menaces.
À cette fin, la politique par défaut pour les versions de Windows 11, en particulier les versions 22528.1000 et plus récentes de l’Insider Preview, verrouillera automatiquement les comptes pendant 10 minutes après 10 tentatives de connexion invalides.
« Les builds de Windows 11 ont maintenant une politique de verrouillage des comptes par défaut pour atténuer le RDP et d’autres vecteurs de mot de passe par force brute« , a déclaré David Weston, vice-président de Microsoft pour la sécurité des OS et l’entreprise, dans une série de tweets la semaine dernière. « Cette technique est très couramment utilisée dans les ransomwares à commande humaine et d’autres attaques – ce contrôle rendra le Bruteforce beaucoup plus difficile, ce qui est génial !« .
Il convient de souligner que si ce paramètre de verrouillage de compte est déjà intégré à Windows 10, il n’est pas activé par défaut.
Cette fonctionnalité, qui fait suite à la décision de l’entreprise de reprendre le blocage des macros VBA (Visual Basic Application) pour les documents Office, devrait également être rétroportée sur les anciennes versions de Windows et Windows Server.
Outre les macros malveillantes, l‘accès RDP forcé est depuis longtemps l’une des méthodes les plus populaires utilisées par lespirates pour obtenir un accès non autorisé aux systèmes Windows.
LockBit, qui est l’un des gangs de ransomware les plus actifs de 2022, est connu pour s’appuyer souvent sur RDP Windows 11 pour prendre pied et poursuivre ses activités. D’autres familles utilisant le même mécanisme sont Conti, Hive, PYSA, Crysis, SamSam et Dharma.
En mettant en place ce nouveau seuil, l’objectif est de diminuer de manière significative l’efficacité du vecteur d’attaque RDP et de prévenir les intrusions qui s’appuient sur la falsification des mots de passe et la compromission des informations d’identification.
« Le renforcement brutal du RDP est la méthode la plus courante utilisée par les pirates qui tentent d’accéder aux systèmes Windows 11 et d’exécuter des logiciels malveillants« , notait Zscaler l’année dernière.
« Les acteurs de la menace recherchent […] les ports RDP ouverts publiquement pour mener des attaques par force brute distribuées. Les systèmes qui utilisent des informations d’identification faibles sont des cibles faciles et, une fois compromis, les attaquants vendent l’accès aux systèmes piratés sur le dark web à d’autres cybercriminels.«
Cela dit, Microsoft, dans sa documentation, met en garde contre de potentielles attaques par déni de service (DoS) qui pourraient être orchestrées en abusant du paramètre de la politique de seuil de verrouillage des comptes.
« Un utilisateur malveillant pourrait tenter par programmation une série d’attaques par mot de passe contre tous les utilisateurs de l’organisation« , note l’entreprise. « Si le nombre de tentatives est supérieur à la valeur de Account lockout threshold, l’attaquant pourrait potentiellement verrouiller tous les comptes. »