Posté le janvier 26, 2021 à 16:15
DES CHERCHEURS DÉCOUVRENT UNE ATTAQUE DDOS AMPLIFIÉE SUR LES SERVEURS RDP DE MICROSOFT
La société de sécurité Netscout a déclaré que les cyber-attaquants exploitent désormais le protocole RDP (Windows Remote Desktop Protocol). Selon le rapport, ils utilisent des services de DDoS-for-hire (DDos à la demande) pour amplifier le trafic indésirable dans les attaques DDoS.
Le service RDP est un service Windows personnalisé qui fonctionne sur UDP/3389 et TCP/3389. Il est utile pour permettre l’accès des stations de travail et des serveurs Windows à partir d’une infrastructure de bureau authentifiée (VDI).
Bien que tous les serveurs RDP ne puissent pas être attaqués et abusés, certains des systèmes authentifiés RDP qui activent le port UDP 3389 peuvent être abusés.
Netscout a révélé que les hackers peuvent envoyer des paquets UDP malformés aux ports UDP des serveurs RDP, ce qui montre comment les attaquants ont amplifié la taille de l’attaque DDoS. En conséquence, un important trafic de courrier indésirable frappait les systèmes ciblés.
Il y a environ 14 000 serveurs Windows RDP vulnérables sur Internet aujourd’hui, selon un rapport publié précédemment par Netscout.
Le rapport de Netscout a également ajouté qu’il n’est pas possible de filtrer l’ensemble du trafic réseau avec le port UDP 3389, car il refusera très probablement les demandes de trafic légitimes des administrateurs système.
Les chercheurs ont plutôt conseillé aux administrateurs de Windows de s’assurer que les serveurs RDP disposent de la meilleure protection derrière un service VPN.
Les chercheurs ont noté qu’ils ont découvert des situations dans lesquelles des éléments comme les serveurs web orientés vers le public recevaient la bonne protection, alors que les serveurs d’application, les serveurs DNS et d’autres éléments de livraison importants n’étaient pas protégés.
En conséquence, les serveurs critiques restent vulnérables aux attaques.
Les attaques DDoS en hausse
En juillet de l’année dernière, le FBI a publié un avis sur l’augmentation des attaques DDoS sur les systèmes. Le FBI a déclaré que la pandémie COVID-19 a donné lieu à un niveau accru d’attaques de la part des acteurs malveillants. Ils utilisent différents moyens pour amplifier et mener des attaques DDoS plus importantes et plus critiques.
Outre l’avertissement du FBI, la CISA (Agence américaine de cybersécurité et de sécurité des infrastructures) a également émis une alerte sur la prévalence des attaques DDoS. Selon l’agence, les acteurs de la menace ciblent les grandes entreprises financières et les agences gouvernementales pour perturber leur flux opérationnel avec des attaques DDoS.
Ces attaques se multiplient car les acteurs malveillants découvrent des failles pour intercepter les employés et les écoles qui dépendent de l’enseignement à distance pendant cette période de pandémie.
De plus, les attaquants utilisent des méthodes d’extorsion sur leurs victimes, alimentées par la valeur accrue de Bitcoin.
Nouvelle attaque DDoS également utilisée par les DDoS booters
Au départ, l’attaque DDoS n’était liée qu’aux acteurs malveillants avancés, mais elle est maintenant également utilisée par les DDoS booters. Cela a augmenté le taux d’attaques contre les organisations car il y a maintenant plus d’acteurs qui cherchent à perturber les activités des organisations autant qu’ils le peuvent.
L’amplification du mécanisme d’attaque est très courante avec toute nouvelle attaque DDoS. Après que les acteurs avancés malveillants ont employé la nouvelle attaque DDoS sur les organisations, les services de DDoS à louer, dits « stresser » ou « booter », ont amplifié sa puissance et ses capacités destructrices, ce qui la rend très critique.
Ces plateformes sont généralement utilisées par des farceurs ou des acteurs malveillants qui n’ont pas le temps d’investir dans le développement de leur propre infrastructure DDoS.
Ils louent généralement le service des booters pour lancer des attaques DDoS à grande échelle qui ciblent des sites ou des serveurs pour différentes raisons.
Prévention des conséquences des attaques DDoS
Les entreprises qui ont été touchées par l’attaque DDoS amplifiée peuvent connaître une interruption de service ou même un arrêt complet de leurs services d’accès à distance.
Cela peut être dû à plusieurs facteurs, notamment les équilibreurs de charge, l’épuisement des pare-feu d’état ou la consommation de capacité de transit.
Les organisations concernées peuvent essayer d’atténuer le problème en filtrant tout le trafic sur l’UDP/3389. Cependant, ce n’est peut-être pas la solution idéale, car cela pourrait bloquer les connexions légitimes, y compris les réponses des sessions RDP.
Les chercheurs ont déclaré que la meilleure alternative est de rendre le serveur disponible uniquement par VPN ou de désactiver complètement le protocole UDP sur les serveurs RDP de Windows.
De plus, les organisations qui risquent de subir une attaque DDoS amplifiée devraient mettre en place une défense DDoS, en particulier pour les serveurs destinés au public. De cette façon, elles peuvent avoir une réponse de contre-attaque à toute attaque DDoS potentielle d’amplification RDP.
