I server Windows Remote Desktop Protocol sono attualmente sfruttati per amplificare attacchi DDoS: si tratta di un caso da manuale di uso improprio di uno strumento legittimo ad opera di servizi di attacco DDoS affittabili nel dark web e nei forum dell'underground hacking.
Il servizio RDP di Microsoft è un servizio integrato di Windows in esecuzione su TCP/3389 e/o UDP/3389 che abilita l'accesso autenticato alle infrastrutture di desktop remoto virtuale (VDI) su server e workstation Windows.
Gli attacchi che stanno sfruttando questo nuovo vettore di attacco (anzi, più correttamente, di amplificazione di attacco), mirando principalmente ai server con RDP abilitati su UDP/3389, hanno un rapporto di amplificazione di 85,9:1 e un picco di ~750 Gbps. Il report pubblicato qualche giorno fa da Netscout parla di oltre 14.000 server Windows RDP vulnerabili, raggiungibili tramite Internet.
Ora, questa non è affatto una nuova minaccia: utilizzi simili di server RDP erano già stati individuati, ma sempre ad opera di attori di minacce avanzati. La novità, purtroppo, sta nel fatto che ora questo vettore di amplificazione viene utilizzato dai booter DDoS, integrato direttamente nei servizi di attacco DDoS affittabili online.
"Come accade solitamente con i più recenti vettori di attacco DDoS, sembra che dopo un iniziale periodo di assunzione ad opera di attaccanti avanzati con acceso ad una infrastruttura di attacco DDoS su misura, l'amplificazione RDP sia stata implementata ad aggiunta anche ai cosiddetti booter / stresser DDoS, rendendo nei fatti questo vettori di attacco alla portata di una fetta molto più ampia di aggressori" si legge nel report.
Parliamo di piattaforme usate da attori di minacce, ma anche hacktivisti o truffatori alle prime armi che non hanno molte skills o tempo da investire per approntare una propria infrastruttura DDoS. Tali piattaforme producono profitto per i propri sviluppatori garantendo servizi e infrastrutture utili a lanciare attacchi DDoS su larga scala che prendono di mira server o siti per una vasta molteplicità di motivi, innescando un cosiddetto "denial of service" che porta comunemente al blocco oppure è causa di interruzioni molteplici di un servizio web.
Misure di Mitigazione
Le aziende colpite da attacchi che abusano dei server RDP Windows come amplificatori possono subire seri danni, compresi l'arresto completo dei servizi di accesso remoto, interruzioni aggiuntive dovute al consumo di capacità di trasferimento dati, problemi e blocco del bilanciamento del carico ecc... Filtrare tutto il traffico su UDP/3389 può mitigare questo tipo di attacchi, ma può anche comportare il blocco di traffico e connessioni legittime, comprese le risposte delle sessioni RDP.
Per mitigare adeguatamente l'impatto di questi attacchi le aziende possono disabilitare completamente i servizi vulnerabili via UDP sui server RDP Windows o rendere questi server disponibili soltanto via VPN. Sicuramente è consigliabile anche implementare difese DDoS per i server rivolti al pubblico, per assicurarsi che possano rispondere adeguatamente ad un attacco DDoS amplificato con RDP.
Non solo Windows
Nel 2019 Netscout ha individuato anche diverso attacchi DDoS che abusavano gli Apple Remote Management Server (ARMS), utilizzando i server macOS come vettore di amplificazione di attacchi DdoS.
Nessun commento:
Posta un commento