Microsoft RDP kimlik doğrulama portallarına yönelik eş zamanlı taramalarda büyük artış tespit edildi
GreyNoise, yaklaşık 1.971 IP adresinin aynı anda Microsoft Remote Desktop Web Access ve RDP Web Client portallarını taradığını, bunun koordineli bir keşif kampanyası olabileceğini açıkladı. Araştırmacılar, saldırıların kullanıcı adı doğrulama zafiyetlerinden yararlanarak gelecekte parola denemesi veya brute force saldırılarına zemin hazırlayabileceğini belirtiyor.
Siber güvenlik firması GreyNoise, Microsoft’un RDP kimlik doğrulama portallarını hedef alan olağan dışı bir tarama faaliyeti tespit etti. Normalde bu tür taramalarda günde yalnızca birkaç IP adresi gözlemlenirken, 21 Ağustos 2025’te yaklaşık 1.971 IP adresi eş zamanlı olarak tarama yaptı.
Amaç kullanıcı adı doğrulama açıklarını test etmek
Araştırmacılara göre saldırganlar, RDP sistemlerindeki zamanlama farklılıklarını test ediyor. Doğru ve yanlış kullanıcı adıyla yapılan oturum açma denemeleri arasında küçük yanıt süreleri farkları olması, saldırganlara geçerli kullanıcı adlarını tahmin etme imkânı sağlayabiliyor. Bu da parola denemesi ve brute force saldırıları için hazırlık anlamına geliyor.
Kampanyanın özellikleri
GreyNoise, taramaya katılan IP’lerin 1.851’inin aynı istemci imzasını paylaştığını ve bunların %92’sinin daha önce kötü niyetli olarak işaretlendiğini bildirdi. IP adreslerinin büyük kısmı Brezilya’dan gelirken, hedefler çoğunlukla ABD’deki sistemler oldu. Bu durum, tek bir botnet ya da ortak bir araç setinin taramaları yürüttüğünü düşündürüyor.
Zamanlama dikkat çekiyor
GreyNoise analisti Noah Stone, taramaların ABD’de okulların yeniden açıldığı döneme denk gelmesinin tesadüf olmayabileceğini belirtti. Üniversiteler ve K-12 okulları bu dönemde RDP tabanlı laboratuvarları ve uzaktan erişim sistemlerini aktif hale getiriyor, aynı zamanda binlerce yeni hesabı sisteme dahil ediyor. Bu ortamlar, öngörülebilir kullanıcı adı formatları (örneğin öğrenci numarası veya ad.soyad) nedeniyle saldırılara karşı daha savunmasız hale geliyor.
Olası yeni güvenlik açığı sinyali
GreyNoise, kötü amaçlı trafik artışlarının çoğu zaman yeni güvenlik açıklarının ortaya çıkmasından önce gözlendiğini hatırlatarak, söz konusu taramaların yeni bir RDP açığının keşfiyle ilişkili olabileceğini de ifade etti.
Uzmanlardan öneriler
Windows yöneticilerine, RDP portallarının mutlaka çok faktörlü kimlik doğrulama ile korunması, mümkünse erişimlerin VPN arkasına alınması ve kullanıcı adlarının tahmin edilmesini zorlaştıracak politikalar uygulanması öneriliyor.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
