2021/01/30

Atacantes abusam do RDP para ampliar ataques DDoS


Uma empresa de segurança detectou grupos de hackers a tirar partido do RDP da Microsoft para ampliarem ataques DDoS.

Os ataques DoS / DDoS (Distributed Denial of Service) consistem em sobrecarregar uma empresa, servidor ou equipamento, com uma quantidade de comunicações que vá para além das suas capacidades, impedindo o seu normal funcionamento. Por isso mesmo, em vez de um único computador a enviar dados, os ataques actuais tiram partidos das botnets, com milhares de computadores ou equipamentos infectados sob controlo dos atacantes, para que sejam milhares de dispositivos a fazer pedidos simultâneos e, ainda por cima, há várias tácticas utilizadas para maximizar este tipo de ataques.

Uma vez que nestes ataque o objectivo é saturar o ponto de destino com o máximo possível de dados, os atacantes tiram o máximo partido de serviços legítimos que permitem multiplicar o efeito destes ataques. É precisamente isso que acontece com o RDP (Remote Desktop Protocol) da Microsoft utilizado para acessos remotos. Este serviço responde a pedidos de login com uma sequência de bytes muito maior do que a que lhe foi enviada, e torna-se por isso num candidato perfeito para este abuso. Os atacantes enviam poucos bytes para um servidor RDP, com um endereço falsificado, fazendo com que estes servidores despejem uma sequência de bytes muito maior na direcção do alvo sob ataque, com uma taxa de amplificação de 85.9:1 que significa que cada gigabyte de dados enviados pelos atacantes resultará em 85.9 gigabytes de dados a saturar o seu alvo.

Este não é o primeiro nem único caso deste tipo de técnica, sendo que outros no passado, como o abuso do protocolo memcached, permitia um factor de amplificação de 51 mil para 1(!) - ou seja, para cada byte enviado pelos atacantes, este serviço enviava 51 mil para o alvo. Os investigadores dizem que existem cerca de 33 mil servidores RDP vulneráveis a este ataque de amplificação na internet, recomendando que o acesso aos mesmos seja protegido por acessos VPN, para que não estejam acessíveis publicamente na internet.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]