Los DDoSers abusan de Microsoft RDP para hacer que los ataques sean más poderosos


Ilustración estilizada de una figura encapuchada en una computadora portátil.
Agrandar /. El hacker ataca el servidor o la base de datos. Seguridad de la red, seguridad de la base de datos y protección de datos personales

Los servicios DDoS por contrato están abusando del Protocolo de escritorio remoto de Microsoft para aumentar la potencia de fuego de los ataques distribuidos de denegación de servicio que paralizan los sitios web y otros servicios en línea, dijo una firma de seguridad esta semana.

El Protocolo de escritorio remoto generalmente se abrevia como RDP y es la base de una función de Microsoft Windows que permite que un dispositivo inicie sesión en otro dispositivo a través de Internet. Las empresas utilizan principalmente RDP para ahorrarles a los empleados el costo o la molestia de tener que estar físicamente presentes cuando acceden a una computadora.

Como es común con muchos sistemas autenticados, RDP responde a las solicitudes de inicio de sesión con una secuencia de bits mucho más larga que establece una conexión entre las dos partes. Los llamados servicios de arranque / estrés, que bombardean las direcciones de Internet con datos suficientes por una tarifa para desconectarlos, introdujeron recientemente RDP como un medio para amplificar sus ataques, dijo la firma de seguridad Netscout.

El refuerzo permite a los atacantes con recursos modestos aumentar el tamaño de los datos que dirigen a los objetivos. La técnica funciona descartando una cantidad relativamente pequeña de datos en el Servicio de repetición, que a su vez refleja una cantidad mucho mayor de datos sobre el destino final. Con una ganancia de 85,9 a 1, 10 gigabytes por segundo de solicitudes dirigidas a un servidor RDP entregan aproximadamente 860 Gbps al destino.

«Los tamaños de ataque observados oscilan entre ~ 20 Gbit / sa ~ 750 Gbit / s», escribieron los investigadores de Netscout. «Como suele ocurrir con los nuevos vectores de ataque DDoS, parece que después de una fase inicial de empleo por parte de atacantes avanzados con acceso a una infraestructura de ataque DDoS personalizada, el reflejo / refuerzo de RDP y los arsenales de los llamados booters / DDoS más estrictos para -Contratar servicios accesibles a la población general de atacantes. «

Los ataques de refuerzo DDoS se remontan a décadas. A medida que los usuarios legítimos de Internet bloquean colectivamente un vector, los atacantes pueden encontrar otros nuevos que ocupen su lugar. Los amplificadores DDoS incluyen solucionadores de DNS abiertos, el protocolo WS Discovery utilizado por los dispositivos IoT y el Protocolo de tiempo de red de Internet. Uno de los vectores de ganancia más poderosos en la memoria actual es el llamado protocolo memcached con un factor de 51,000 a 1.

Los ataques de refuerzo DDoS funcionan utilizando paquetes de red UDP, que se pueden falsificar fácilmente en muchas redes. Un atacante envía una solicitud al vector y falsifica los encabezados para dar la impresión de que la solicitud proviene del objetivo. El vector de ganancia luego envía la respuesta al destino cuya dirección aparece en los paquetes falsificados.

Según Netscout, hay alrededor de 33.000 servidores RDP en Internet que pueden ser mal utilizados en ataques de refuerzo. Además de utilizar paquetes UDP, RDP también puede depender de paquetes TCP.

Netscout recomendó acceder a los servidores RDP solo a través de servicios de red privada virtual. En el caso de que los servidores RDP que ofrecen acceso remoto a través de UDP no se puedan mover inmediatamente detrás de los concentradores VPN, los administradores deben deshabilitar RDP a través de UDP como medida temporal.

Los RDP no garantizados no solo pueden dañar Internet en su conjunto, sino que también representan una amenaza para las organizaciones que la exponen a Internet.

«El impacto colateral de los ataques de reflexión / refuerzo de RDP puede ser bastante alto para las empresas cuyos servidores RDP de Windows están siendo abusados ​​como reflectores / amplificadores», explicó Netscout. «Esto puede incluir una interrupción parcial o total de los servicios de acceso remoto de misión crítica, así como una interrupción adicional del servicio debido al consumo de la capacidad de tránsito, el agotamiento de los firewalls gubernamentales, equilibradores de carga, etc. en la tabla».

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *