Nowe badania oraz raport wydany przez NetScout wykazały, że cyberprzestępcy mogą wykorzystywać protokół Microsoft Remote Desktop (RDP) jako potężne narzędzie do wzmacniania ataków DDoS.
Atakujący mogą nadużywać RDP, aby przeprowadzić atak odbicia / wzmocnienia UDP (ang. reflection/amplification) ze współczynnikiem wzmocnienia 85,9: 1, oświadczył główny inżynier Roland Dobbins i starszy analityk ds. Bezpieczeństwa sieci Steinthor Bjarnason z Netscout.
Jednak nie wszystkie serwery RDP mogą być używane w ten sposób. Jest to możliwe tylko wtedy, gdy usługa jest włączona na porcie UDP. Port TCP tutaj nie zadziała.
Jak dotąd firma Netscout zidentyfikowała ponad 14 000 nadających się do wykorzystania serwerów RDP systemu Windows, które mogą być nadużywane przez osoby atakujące. Jest to zdecydowanie niepokojąca wiadomość w czasie, gdy tego typu ataki zyskują na popularności z powodu większego zainteresowania Internetem w dobie pandemii.
Ryzyko to zostało podkreślone na początku tego tygodnia, kiedy badacze zidentyfikowali nowy wariant złośliwego oprogramowania o nazwie Freakout, który dodaje punkty końcowe do botnetu w celu atakowania DDoS-em urządzeń z systemem Linux.
Na czym polega problem?
RDP to część systemu operacyjnego Microsoft Windows, która zapewnia uwierzytelniony dostęp do infrastruktury zdalnego pulpitu wirtualnego (VDI) do stacji roboczych i serwerów. Administratorzy systemu mogą skonfigurować protokół RDP, aby działał na porcie TCP 3389 i / lub porcie UDP 3389.
Atakujący mogą wysyłać wzmocniony ruch, który składa się z niepofragmentowanych pakietów UDP pochodzących z portu 3389, w celu zaatakowania określonego adresu IP i określonego portu UDP. W przeciwieństwie do legalnego ruchu sesji RDP, wzmocnione pakiety ataków mają stałą długość 1260 bajtów i są wypełnione długimi ciągami zer.
Wykorzystanie serwerów Windows RDP w ten sposób ma znaczący wpływ na całą organizację ofiary. Objawia się to całkowitym lub częściowym przerwaniem usług dostępu zdalnego o znaczeniu krytycznym, a także innymi zakłóceniami spowodowanymi zużyciem przepustowości, co wpływa na całą infrastrukturę sieciową.
Z drugiej strony, globalne filtrowanie całego ruchu pochodzącego z UDP 3389 przez operatorów sieci może potencjalnie nadmiernie blokować legalny ruch internetowy, w tym legalne odpowiedzi na zdalne sesje RDP. Nie jest to, więc dobre rozwiązanie ochrony.
Aby złagodzić wykorzystanie protokołu RDP do wzmocnienia ataków DDoS i związanego z nimi wpływu, badacze przekazali szereg sugestii administratorom systemów Windows. Przede wszystkim powinni wdrożyć serwery Windows RDP za koncentratorami VPN, aby zapobiec ich wykorzystywaniu do wzmacniania ataków DDoS. Z kolei Operatorzy sieci powinni przeprowadzić rozpoznanie w celu zidentyfikowania nadużywanych serwerów Windows RDP w swoich sieciach lub sieciach swoich klientów.
Oczywiście idealnym rozwiązaniem byłoby w ogóle wyłączenie protokołu RDP na porcie UDP i pozostawienie tylko TCP lub nawet zmiana domyślnego portu 3389 na inny. Jednak nie zawsze jest to możliwe do zrealizowania.
Ruch sieciowy do Internetu pochodzący od wewnętrznego personelu organizacyjnego powinien również zostać oddzielony od ruchu internetowego do / z publicznych obiektów internetowych i obsługiwany przez oddzielne łącza tranzytowe.
Podsumowanie
Protokół RDP jest powszechnie używany w praktycznie każdej organizacji polegającej na infrastrukturze Windows. Ważne jest, aby używać go z głową. Przede wszystkim nie wystawiać bezpośrednio do Internetu, ale też dbać o aktualizacje serwerów z otwartym dostępem RDP. Wiele razy pisaliśmy o atakach związanych z RDP takich jak Blue Keep czy Botnet GoldBrute. Polecamy, aby zapoznać się z naszym wpisem odnośnie dobrych praktyk przy stosowaniu tego protokołu w organizacji – link.