Door op ‘Alle cookies accepteren’ te klikken, gaat u akkoord met het opslaan van cookies op uw apparaat om de sitenavigatie te verbeteren, het sitegebruik te analyseren en te helpen bij onze marketinginspanningen. Bekijk ons privacyverklaring voor meer informatie.
VoorkeurenNeeAccepteer
RDP vanuit een hackersperspectief
February 19, 2025
LEES TIJD:
4
MINUTen

RDP vanuit een hackersperspectief

Remote desktop protocol (RDP) is een van de meest gebruikte remote access-oplossingen binnen enterpriseomgevingen. Het biedt systeembeheerders en medewerkers de mogelijkheid om op afstand machines te beheren en operationele taken uit te voeren. Dit maakt het een krachtig instrument voor IT-beheer en remote werken, maar tegelijkertijd een veelgebruikte aanvalsvector voor Hackers. RDP wordt namelijk nogal eens verkeerd geconfigureerd, waardoor aanvallers relatief eenvoudig misbruik kunnen maken van kwetsbaarheden, zwakke authenticatiemechanismen en publieke blootstelling.

Waarom hackers dol zijn op RDP

RDP draait standaard op poort 3389, een poort die vaak openstaat naar het internet zonder goede restricties. Hierdoor wordt het een belangrijk doelwit voor aanvallers die brute-force aanvallen, credential stuffing en exploit-based compromittering gebruiken om toegang te krijgen tot interne systemen.

  • Directe toegang tot bedrijfskritische systemen: een gecompromitteerde RDP-sessie biedt directe interactie met een systeem en daarmee toegang tot (gevoelige-) data, beheerdersrechten en laterale bewegingsmogelijkheden binnen het netwerk.
  • Credential re-use en brute-force aanvallen: Organisaties hanteren met regelmaat een zwak wachtwoordbeleid of hergebruiken inloggegevens, waardoor gestolen credentials uit eerdere datalekken eenvoudig kunnen worden ingezet.
  • Laterale beweging en privilege escalatie: zodra een aanvaller zich binnen een netwerk bevindt, kan RDP worden gebruikt om naar andere systemen te pivoteren en administratieve rechten te verkrijgen.
  • Ransomware distributie: groeperingen zoals Ryuk, Conti en Revil gebruiken RDP om ransomware geautomatiseerd uit te rollen over hele IT-omgevingen.

Poort 1098 in plaats van 3389

Sommige organisaties denken de veiligheid te verhogen door de standaard RDP-poort te wijzigen van 3389 naar een andere willekeurige poort. Dit biedt echter géén echte bescherming. Moderne scanningtools zoals Nmap, Masscan en Shodan detecteren eenvoudig welke poorten RDP-verkeer afhandelen, ongeacht de poortnummers. Een poortwijziging maakt het misschien iets minder opvallend in standaard scans, maar heeft geen enkele impact op de beveiliging tegen gerichte aanvallen.

Echte bescherming vereist:

  • Network level authentication (nla): om ongeautoriseerde sessies te blokkeren voordat inlogpogingen plaatsvinden.
  • IP-whitelisting en restricties via firewalls: om te voorkomen dat RDP-verkeer van ongeautoriseerde bronnen afkomstig is.
  • VPN- of zero trust network access (ztna): om toegang alleen mogelijk te maken via beveiligde en geauthentiseerde netwerkroutes.

Kritieke RDP kwetsbaarheden en exploits

Door de jaren heen zijn verschillende kritieke kwetsbaarheden in RDP ontdekt en actief misbruikt in cyberaanvallen. Een paar beruchte voorbeelden:

  • CVE-2019-0708 (“bluekeep”): een pre-authentication remote code execution (rce) exploit die ongepatchte windows RDP-servers volledig kan overnemen zonder enige interactie van de gebruiker.
  • CVE-2020-0609 & cve-2020-0610 (“dejablue”): kwetsbaarheden in moderne windows-versies die aanvallers in staat stellen om op afstand code uit te voeren zonder authenticatie.

Dergelijke kwetsbaarheden benadrukken het belang van tijdige patching, netwerksegmentatie en het minimaliseren van externe blootstelling.

De rol van EDR bij het beveiligen van RDP

Endpoint detection and response (EDR) biedt een kritische verdediging laag tegen RDP-aanvallen. In tegenstelling tot traditionele antivirusoplossingen monitort EDR continu gedragsanomalieën, detecteert verdachte RDP-activiteit en kan aanvallen in real-time mitigeren.

Belangrijke EDR-functionaliteiten voor RDP-beveiliging:

  • Detectie van brute-force aanvallen: identificeren van herhaalde mislukte inlogpogingen die wijzen op een geautomatiseerde aanval.
  • Lateral movement monitoring: identificeren van ongeautoriseerde interne RDP-sessies, een veelgebruikte techniek bij ransomware-aanvallen.
  • Procesgedragsanalyse: opsporen van verdachte activiteiten na een geslaagde RDP-authenticatie, zoals het starten van powershell, mimikatz of malware
  • Automatische isolatie en blokkering: real-time respons op RDP-misbruik door gecompromitteerde endpoints direct te isoleren of RDP-toegang dynamisch in te trekken.

Moderne EDR-oplossingen maken onder andere gebruik van Threat Intelligence (TI) feeds om bekende aanvalspatronen en ttp’s (tactics, techniques, and procedures) van cybercriminelen proactief te blokkeren. In combinatie met zero trust network access (ztna), multi-factor authentication (mfa) en gedrag gebaseerde monitoring kan de aanvalsvector van RDP aanzienlijk worden verkleind.

Conclusie

RDP is een krachtige, maar ook risicovolle tool. Organisaties die RDP gebruiken zonder adequate beveiligingsmaatregelen lopen een verhoogd risico op ransomware-aanvallen, datalekken en laterale netwerkcompromittatie. Simpele mitigaties zoals het wijzigen van de standaard poort bieden geen werkelijke bescherming. Een aanpak, bestaande uit netwerksegmentatie, sterke authenticatie, patchmanagement en geavanceerde detectiemechanismen via EDR, is echt noodzakelijk om aanvallen effectief te blokkeren.

Daarnaast worden frameworks zoals NIS2 en DORA steeds strikter op het gebied van toegangscontrole en incidentrespons. Organisaties die RDP verkeerd configureren, riskeren niet alleen security-incidenten maar ook compliance-boetes en reputatieschade.

Bij DeepBlue helpen we organisaties om hun externe aanvalsoppervlak intensief te testen, kwetsbaarheden te identificeren en een solide beveiligingsstrategie te implementeren. Dit alles volgens de laatste technieken en meest geavanceerde tactieken.

Wil je meer weten? Wij denken graag met je mee om een cybersecurityoplossing te ontwikkelen die écht toekomstbestendig is.

www.deepbluesecurity.nl || info@deepbluesecurity.nl ||  070-800 2025

ENGLISH VERSION
Back to Resources

Klaar om te beginnen?

Als het om cyber security gaat, zijn wij uw beste keuze

Contact