互联网情报公司 GreyNoise 报告称，其已记录到扫描活动出现显著激增的情况——有近 1971 个 IP 地址同步探测微软远程桌面 Web 访问（Microsoft Remote Desktop Web Access）及 RDP Web 客户端的认证入口，这一现象暗示可能存在协同的侦察攻击行动。

研究人员表示，这种活动规模已出现巨大变化，以往每天通常仅观测到 3-5 个 IP 地址进行此类扫描。

GreyNoise 指出，这波扫描是在测试可用于验证用户名的时间上的漏洞，为后续基于凭据的攻击，如暴力破解或密码喷洒攻击做准备。

当系统或请求的响应时间无意中泄露敏感信息的情况时，就会出现时间上的漏洞。在此场景中，当 RDP 对使用有效用户名与无效用户名的登录尝试做出响应时，若存在细微的时间差异，攻击者就可能据此推断该用户名是否正确。

GreyNoise 还提到，有 1851 个 IP 地址具有相同的客户端特征，其中约 92% 已被标记为恶意 IP。这些 IP 地址主要源自巴西，且攻击目标为美国的 IP 地址，这表明可能是单个僵尸网络或同一工具集中实施扫描。

研究人员称，此次攻击的时间与美国返校季相重合，此时学校和高校可能正将其 RDP 系统重新接入网络。这个时间点或许并非偶然。

执行 Microsoft RDP web 客户端登录攻击的唯一 IP 地址

8 月正值美国的返校期，高校及 K-12 学校会将由 RDP 支持的实验室和远程访问系统重新上线，并新增数千个账户。这些环境通常采用可预测的用户名格式（如学生证号、名姓），这使得用户名攻击的效果更佳。再加上预算限制以及入学期间对访问便利性的优先考量，安全暴露风险可能会急剧上升。 

不过，此次扫描活动的激增也可能意味着新的漏洞已被发现，因为 GreyNoise 此前发现，恶意流量的激增往往发生在新漏洞披露之前。

负责管理 RDP 入口及暴露设备的 Windows 管理员应确保其账户通过多因素认证得到妥善保护，如有可能，应将这些设备置于 VPN 之后。