Posté le novembre 3, 2022 à 6:21
DES CHERCHEURS AVERTISSENT QUE DES SERVEURS WINDOWS MAL CONFIGURÉS FAVORISENT LES ATTAQUES DDOS
Les chercheurs en sécurité de Black Lotus Labs ont découvert que les serveurs Windows mal configurés risquent d’être touchés par des attaques par déni de service distribué (DDoS). Des organisations sont déjà victimes de ce type d’attaque.
Les chercheurs ont révélé que plus de 12 000 serveurs Windows exécutant le contrôleur de domaine Microsoft ont été la cible d’attaques DDoS.
On a découvert que les serveurs Microsoft mal configurés crachaient des gigaoctets de paquets indésirables par seconde. Cela a provoqué plusieurs cas d’attaques par déni de service distribué (DDoS) contre des entreprises et des services peu méfiants. Ces attaques sont capables de perturber une entreprise, voire de la mettre hors service pendant plusieurs jours si elles ne sont pas contrôlées.
CLDAP fait partie des plus importantes sources d’attaques
Le protocole CLDAP (Connectionless Lightweight Directory Access Protocol) est l’une des principales sources d’attaques. Le rapport révèle qu’il vérifie les utilisateurs en utilisant les paquets du User Datagram Protocol lorsque les utilisateurs sont connectés à l’Active Directory.
Les acteurs de la menace ont été en mesure de développer des attaques parce que le serveur Windows continue à envoyer des quantités massives de paquets.
Un chercheur de Black Lotus, Charles Davis, a commenté cette évolution. Il a déclaré que les services UDP sont inoffensifs lorsque les contrôleurs de domaine ne sont pas exposés à l’Internet ouvert. Cependant, sur l’Internet ouvert, « tous les services UDP sont vulnérables à la réflexion, a-t-il ajouté.
CLDAP existe depuis 2017 et a été utilisé comme métrique d’attaque depuis lors. Mais sa fréquence d’utilisation a augmenté au cours des derniers mois, et les chercheurs en sécurité s’inquiètent de cette tendance.
Les contrôleurs de domaine Microsoft avec Active Directory ont toujours été utilisés pour amplifier les attaques DDoS. Depuis plusieurs années, c’est toujours une bataille constante entre le défenseur et l’attaquant. Dans de nombreux cas, le travail de l’attaquant est assez simple puisqu’il lui suffisait d’accéder à la liste, en augmentation rapide, des appareils connectés d’un botnet utilisé dans les attaques.
Les acteurs de la menace utilisent la « réflexion » comme l’une des méthodes d’attaque les plus courantes. Elle est utilisée par les attaquants pour envoyer l’attaque à des serveurs tiers plutôt que d’inonder un appareil de paquets de données.
Lorsque les attaquants utilisent des tiers avec des serveurs mal configurés pour usurper les paquets, ils donnent l’impression que l’attaque émane de la cible. Les serveurs tiers finissent involontairement par décupler l’ampleur de l’attaque.
Le CLDAP a fait l’objet d’un nombre croissant d’attaques au cours de l’année dernière. Le CLDAP est une autre version du Lightweight Directory Access Protocol (LDAP). Il utilise les paquets du User Datagram Protocol qui donnent accès aux utilisateurs et découvre les services lors de la signature dans Active Directory.
Lorsque les chercheurs ont découvert la mauvaise configuration des serveurs CLDAP en 2007, le nombre de cibles touchées se comptait en dizaines de milliers. Cependant, ce nombre a fortement chuté lorsque l’administrateur a eu connaissance du problème. Mais il a recommencé à augmenter, enregistrant une hausse de près de 60 % au cours de l’année dernière, ont déclaré les chercheurs de Black Lotus Labs.
Quelques conseils aux administrateurs pour protéger leurs systèmes
La société de sécurité a donné quelques conseils aux administrateurs de réseaux et aux organisations utilisant CLDAP pour protéger leurs serveurs.
Les administrateurs de réseau ne doivent pas exposer le service CLDAP à un Internet ouvert afin d’éviter toute intrusion de la part d’acteurs de la menace.
Mais s’ils devaient exposer le service CLDAP à l’Internet, ils devraient être plus complets en matière de défense et de sécurité du système. Les administrateurs devraient également désactiver les services UDP et essayer d’accéder au ping LDAP en utilisant le TCP.
Mais si le serveur MS ne supporte pas le ping LDAP sur TCP, l’administrateur doit minimiser le trafic généré par le service 389/UDP afin d’éviter qu’il ne soit utilisé pour des DDoS.
Ils peuvent également essayer de limiter l’accès du pare-feu au port pour s’assurer que seuls les clients ayant un accès légitime peuvent accéder au service. Il s’agit d’une méthode standard pour empêcher les attaquants DDoS d’envoyer une grande quantité de trafic sur un seul réseau pour le surcharger. Cette méthode permettra de limiter les attaques DDoS si la version du service MS ne prend pas en charge le ping LDAP vers TCP.
En outre, les chercheurs ont demandé aux défenseurs du réseau de mettre en œuvre des stratégies qui empêcheront le trafic IP usurpé. Back Lotus a également informé les administrateurs et les a aidés à identifier certains des problèmes qui sont vulnérables dans un espace IP fourni par Lumen. Microsoft n’a pas encore réagi ou commenté la situation.
