简介 

    近期，网络安全领域监测到一起规模空前的恶意攻击活动，攻击者利用超过10万个独立的IP地址，对全球范围内的远程桌面协议（RDP）服务展开了大规模、持续性的暴力破解攻击。这种攻击方式旨在通过自动化脚本尝试海量的用户名和密码组合，以非法获取RDP服务的访问权限，进而渗透企业内部网络，窃取敏感数据或部署勒索软件等恶意程序。此次攻击事件凸显了RDP服务在互联网上面临的严峻安全挑战，尤其是那些未采取适当防护措施的暴露在公网上的服务，极易成为攻击者的首要目标。

漏洞详情 

    本次大规模攻击并非利用某个特定的软件漏洞（CVE），而是主要利用了远程桌面协议服务在安全配置和管理上的普遍弱点。攻击的核心手法是“暴力破解”和“密码喷洒”。攻击者通过扫描互联网上开放3389端口（RDP默认端口）的设备，使用庞大的IP地址池轮番对目标发起认证尝试。这种方式能够有效规避基于单个IP地址频率的简单防御策略。攻击者通常会使用从其他数据泄露事件中获取的常用用户名和密码组合进行尝试，或者针对特定组织使用定制化的字典。一旦攻击成功，攻击者将获得与合法用户同等的系统访问权限，从而能够横向移动，安装后门，加密文件进行勒索，或者将受控设备纳入僵尸网络。

影响版本  

    此次攻击具有广泛的影响范围，主要针对所有在互联网上暴露了远程桌面协议（RDP）服务的Windows操作系统。具体而言，受影响的操作系统版本包括但不限于：Windows Server 2003、Windows Server 2008 / 2008 R2、Windows Server 2012 / 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022；以及客户端系统如Windows XP、Windows 7、Windows 8 / 8.1、Windows 10和Windows 11。任何未对RDP访问实施强认证和网络层访问控制的系统均面临高风险。

推荐措施 

    1、立即实施网络层隔离：除非绝对必要，否则不应将RDP服务直接暴露在公共互联网上。应通过部署VPN（虚拟专用网络）来建立安全的远程访问通道，所有RDP连接必须首先通过VPN进行认证和加密，从而将服务隐藏在内网中。

    2、强制使用强密码策略与多因素认证（MFA）：为所有能够通过RDP登录的账户设置复杂且冗长的密码（建议长度超过12位，包含大小写字母、数字和特殊字符）。更重要的是，必须启用并强制要求多因素认证（MFA），这是防止暴力破解最有效的手段之一，即使密码被猜解，攻击者也无法通过第二重验证。