Hakerzy mogą wykorzystać RDP do wzmacniania ataków DDoS

Na czym polega problem?

RDP to część systemu operacyjnego Microsoft Windows, która zapewnia uwierzytelniony dostęp do infrastruktury zdalnego pulpitu wirtualnego (VDI) do stacji roboczych i serwerów. Administratorzy systemu mogą skonfigurować protokół RDP, aby działał na porcie TCP 3389 i / lub porcie UDP 3389.

Atakujący mogą wysyłać wzmocniony ruch, który składa się z niepofragmentowanych pakietów UDP pochodzących z portu 3389, w celu zaatakowania określonego adresu IP i określonego portu UDP. W przeciwieństwie do legalnego ruchu sesji RDP, wzmocnione pakiety ataków mają stałą długość 1260 bajtów i są wypełnione długimi ciągami zer.

Wykorzystanie serwerów Windows RDP w ten sposób ma znaczący wpływ na całą organizację ofiary. Objawia się to całkowitym lub częściowym przerwaniem usług dostępu zdalnego o znaczeniu krytycznym, a także innymi zakłóceniami spowodowanymi zużyciem przepustowości, co wpływa na całą infrastrukturę sieciową.

Z drugiej strony, globalne filtrowanie całego ruchu pochodzącego z UDP 3389 przez operatorów sieci może potencjalnie nadmiernie blokować legalny ruch internetowy, w tym legalne odpowiedzi na zdalne sesje RDP. Nie jest to, więc dobre rozwiązanie ochrony.

Aby złagodzić wykorzystanie protokołu RDP do wzmocnienia ataków DDoS i związanego z nimi wpływu, badacze przekazali szereg sugestii administratorom systemów Windows. Przede wszystkim powinni wdrożyć serwery Windows RDP za koncentratorami VPN, aby zapobiec ich wykorzystywaniu do wzmacniania ataków DDoS. Z kolei Operatorzy sieci powinni przeprowadzić rozpoznanie w celu zidentyfikowania nadużywanych serwerów Windows RDP w swoich sieciach lub sieciach swoich klientów.

Oczywiście idealnym rozwiązaniem byłoby w ogóle wyłączenie protokołu RDP na porcie UDP i pozostawienie tylko TCP lub nawet zmiana domyślnego portu 3389 na inny. Jednak nie zawsze jest to możliwe do zrealizowania.

Ruch sieciowy do Internetu pochodzący od wewnętrznego personelu organizacyjnego powinien również zostać oddzielony od ruchu internetowego do / z publicznych obiektów internetowych i obsługiwany przez oddzielne łącza tranzytowe.

Podsumowanie

Protokół RDP jest powszechnie używany w praktycznie każdej organizacji polegającej na infrastrukturze Windows. Ważne jest, aby używać go z głową. Przede wszystkim nie wystawiać bezpośrednio do Internetu, ale też dbać o aktualizacje serwerów z otwartym dostępem RDP. Wiele razy pisaliśmy o atakach związanych z RDP takich jak Blue Keep czy Botnet GoldBrute. Polecamy, aby zapoznać się z naszym wpisem odnośnie dobrych praktyk przy stosowaniu tego protokołu w organizacji – link.