Kā milisekundes uzlauž autentifikāciju.
GreyNoise fiksēja strauju un netipisku izlūkošanas aktivitātes pieaugumu pret Microsoft Remote Desktop Web Access un RDP Web Client: vienlaikus darbojās 1971 unikāla IP adrese, kamēr parasti uzņēmums redz tikai 3–5 šādus avotus dienā.
Pēc analītiķu novērtējuma, sinhronitāte un mērogs liecina par koordinētu kampaņu, kurā uzbrucēji pārbauda autentifikācijas portālu darbību un sagatavo augsni turpmākiem uzbrukumiem parolēm. 1851 gadījumā tika novērots viens un tas pats klienta “nospiedums”, turklāt aptuveni 92 % no šiem mezgliem jau ir atzīmēti kā ļaunprātīgi. Galvenais datplūsmas avots bija Brazīlija, un tas tika vērsts uz adresēm ASV, kas atbilst hipotēzei par vienotu botnetu vai kopēju instrumentu kopumu.
Skenēšanas viļņa mērķis ir meklēt laika uzbrukumus, kad mikroskopiska atšķirība atbildes laikā neviļus izpauž jutīgu informāciju. Ja RDP tīmekļa portāls atbild uz mēģinājumu ieiet ar esošo vārdu nedaudz ātrāk nekā uz pieprasījumu neeksistējošam lietotājam, tas dod iespēju apstiprināt lietotājvārdu derīgumu, nezinot paroli — klasisks trešās puses novērošanas kanāls pēc atbildes laika.
Pēc uzliesmojuma laika pētnieki norāda uz 21. augustu — mācību gada sākuma periodu ASV. Šajās dienās skolas un augstskolas masveidā izveido RDP pakalpojumus attālinātiem laboratorijas darbiem, izveido daudz jaunu ierakstu un uz laiku padara pieejamību augstāku par stingriem ierobežojumiem. Šādās vidēs bieži tiek izmantotas paredzamas pieteikšanās shēmas — no studentu identifikatoriem līdz šabloniem “vārds.uzvārds” — kas papildus palielina vārdu uzskaitīšanas efektivitāti. Savu lomu spēlē arī budžeta ierobežojumi izglītībā: tur, kur prioritāte ir ātra tūkstošiem lietotāju pieslēgšanās, kontroles sistēmas un aizsardzības mehānismi bieži tiek ieviesti ar kavēšanos.
GreyNoise uzsver, ka līdzīgas pīķa vērtības no iepriekšējās pieredzes bieži iepriekš paredz jaunu ievainojamību publisku atklāšanu.
Pat ja tas ir tikai sagatavošanās turpmākiem uzbrukumiem parolēm, riski paliek augsti: lietotājvārda apstiprināšana samazina izvēles iespējas un palielina gan precīzas pārbaudes, gan paroles izsmidzināšanas metodes efektivitāti lielā skaitā kontu.
Windows infrastruktūru administratoriem ieteicams nekavējoties izslēgt vienkāršus kompromitēšanas scenārijus. Minimālais pasākums — obligāta daudzfaktoru autentifikācija visiem kontiem, kam ir piekļuve RDP tīmekļa portāliem, un šo portālu pārnešana uz VPN vai citām attālās piekļuves robežām. Papildus ir vērts ierobežot ārējo piekļuvi RD Web Access pēc avotu sarakstiem, iekļaut agresīvus ierobežojumus mēģinājumiem ieiet un uzmanīgi izvērtēt jebkādas atšķirības atbildes laikā, kas var pārvērsties par noplūdi pa blakus kanāliem.
