Los servicios de DDoS para contratar están abusando del Protocolo de escritorio remoto de Microsoft para aumentar la potencia de fuego de los ataques distribuidos de denegación de servicio que paralizan los sitios web y otros servicios en línea, dijo una firma de seguridad esta semana.
Normalmente abreviado como RDP, el Protocolo de escritorio remoto es la base de una función de Microsoft Windows que permite que un dispositivo inicie sesión en otro dispositivo a través de Internet. Las empresas utilizan principalmente RDP para ahorrarles a los empleados el costo o la molestia de tener que estar físicamente presentes cuando acceden a una computadora.
Como es habitual en muchos sistemas autenticados, RDP responde a las solicitudes de inicio de sesión con una secuencia de bits mucho más larga que establece una conexión entre las dos partes. Los llamados servicios de arranque / estrés, que por una tarifa bombardearán las direcciones de Internet con datos suficientes para desconectarlas, han adoptado recientemente RDP como un medio para amplificar sus ataques, la empresa de seguridad Netscout dijo.
La amplificación permite a los atacantes con recursos modestos fortalecer el tamaño de los datos que dirigen a los objetivos. La técnica funciona rebotando una cantidad relativamente pequeña de datos en el servicio de amplificación, que a su vez refleja una cantidad mucho mayor de datos en el objetivo final. Con un factor de amplificación de 85,9 a 1, 10 gigabytes por segundo de solicitudes dirigidas a un servidor RDP entregarán aproximadamente 860 Gbps al objetivo.
“Los tamaños de ataque observados oscilan entre ~ 20 Gbps – ~ 750 Gbps”, escribieron los investigadores de Netscout. “Como suele ocurrir con los nuevos vectores de ataque DDoS, parece que después de un período inicial de empleo por parte de atacantes avanzados con acceso a la infraestructura de ataque DDoS a medida, la reflexión / amplificación RDP se ha convertido en arma y se ha agregado a los arsenales de los llamados booter / servicios de DDoS para alquiler estresantes, poniéndolos al alcance de la población general de atacantes “.
Los ataques de amplificación DDoS se remontan a décadas. A medida que los usuarios legítimos de Internet bloquean colectivamente un vector, los atacantes encuentran otros nuevos para ocupar su lugar. Los amplificadores DDoS han incluido resolutores de DNS abiertos, el protocolo WS-Discovery utilizado por los dispositivos IoT y el Protocolo de tiempo de red de Internet. Uno de los vectores de amplificación más poderosos en la memoria reciente es el llamado protocolo memcached, que tiene un factor de 51.000 a 1.
Los ataques de amplificación DDoS funcionan mediante el uso de paquetes de red UDP, que se pueden falsificar fácilmente en muchas redes. Un atacante envía una solicitud al vector y falsifica los encabezados para dar la apariencia de que la solicitud proviene del objetivo. El vector de amplificación luego envía la respuesta al objetivo cuya dirección aparece en los paquetes falsificados.
Hay alrededor de 33.000 servidores RDP en Internet que pueden ser abusados en ataques de amplificación, dijo Netscout. Además de usar paquetes UDP, RDP también puede confiar en paquetes TCP.
Netscout recomendó que los servidores RDP sean accesibles solo a través de servicios de red privada virtual. En el caso de que los servidores RDP que ofrecen acceso remoto a través de UDP no se puedan mover inmediatamente detrás de los concentradores VPN, los administradores deben deshabilitar RDP a través de UDP como medida provisional.
Además de dañar Internet en su conjunto, los RDP no seguros pueden ser un peligro para las organizaciones que los exponen a Internet.
“El impacto colateral de los ataques de amplificación / reflexión de RDP es potencialmente bastante alto para las organizaciones cuyos servidores RDP de Windows se abusan como reflectores / amplificadores”, explicó Netscout. “Esto puede incluir la interrupción parcial o total de los servicios de acceso remoto de misión crítica, así como la interrupción adicional del servicio debido al consumo de capacidad de tránsito, el agotamiento de la tabla de estado de los firewalls con estado, los equilibradores de carga, etc.”