Windows 11 Blokir Serangan Brute-Force RDP Secara Default

Cyberthreat.id – Build Windows 11 terbaru hadir dengan kebijakan Kebijakan Penguncian Akun yang diaktifkan secara default yang secara otomatis akan mengunci akun pengguna (termasuk akun Administrator) setelah 10 upaya masuk yang gagal selama 10 menit.

Mengutip Bleeping Computer, proses pemaksaan akun biasanya membutuhkan menebak kata sandi menggunakan alat otomatis. Taktik ini sekarang diblokir secara default pada build Windows 11 terbaru setelah gagal memasukkan kata sandi yang benar 10 kali berturut-turut.

“Win11 build sekarang memiliki kebijakan penguncian akun default untuk mengurangi RDP dan vektor kata sandi brute force lainnya,” kata David Weston, VP Microsoft untuk Perusahaan dan Keamanan OS dalam akun Twitternya.

Seperti yang juga dikatakan Weston, kredensial brute force adalah taktik populer di kalangan pelaku ancaman untuk menembus sistem Windows melalui Remote Desktop Protocol (RDP) ketika mereka tidak mengetahui kata sandi akun.

Penggunaan Windows Remote Desktop Services untuk menembus jaringan perusahaan sangat lazim di kalangan penjahat dunia maya sehingga FBI mengatakan RDP bertanggung jawab atas sekitar 70-80% dari semua pelanggaran jaringan yang mengarah ke serangan ransomware.

Ditambah dengan perubahan lain yang berfokus pada keamanan yang baru-baru ini diumumkan Microsoft, termasuk pemblokiran otomatis makro Office dalam dokumen yang diunduh dan menerapkan otentikasi multi-faktor (MFA) di Azure AD, perusahaan secara perlahan menutup semua vektor entri yang digunakan oleh operator ransomware untuk menembus jaringan Windows dan sistem.

Kebijakan Penguncian Akun juga tersedia di sistem Windows 10. Namun, sayangnya, itu tidak diaktifkan secara default, memungkinkan penyerang untuk memaksa masuk ke sistem Windows dengan layanan RDP yang terbuka.

Admin dapat mengonfigurasi kebijakan ini di Windows 10 di Konsol Manajemen Kebijakan Grup dari Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.

Ini adalah peningkatan keamanan yang penting karena banyak server RDP, terutama yang digunakan untuk membantu pekerja jarak jauh mengakses aset perusahaan, secara langsung terpapar ke Internet, membuat jaringan organisasi terkena serangan ketika dikonfigurasi dengan buruk.

Untuk menempatkan segala sesuatunya dalam perspektif, serangan yang menargetkan layanan RDP telah mengalami peningkatan tajam setidaknya sejak pertengahan akhir 2016, dimulai dengan meningkatnya popularitas pasar web gelap yang menjual akses RDP ke jaringan yang disusupi, menurut laporan FBI IC3 dari 2018.

Satu catatan penting adalah UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri pada satu titik, yang membocorkan nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan secara historis dikompromikan.