Os servidores de hosting com Windows Remote Desktop Protocol (RDP) estão sendo usados para aumentar os ataques de Distributed Denial of Service (DDoS).
O serviço de RDP do Windows é um serviço integrado da Microsoft que roda em TCP/3389 e/ou UDP/3389 e que permite o acesso à infra-estrutura do ambiente de trabalho virtual dos servidores e das estações de trabalho do Windows.
Os ataques que se aproveitam desse nova possibilidade visam servidores Windows com RDP ativado em UDP/3389, têm uma taxa ampliada de 85,9:1 e um pico aproximado de 750 Gbps.
Cerca de 14.000 servidores com RDP do Windows estão vulneráveis através da Internet, de acordo com um aviso da Netscout publicado hoje cedo.
Antigamente era só usado por atacantes mais experientes, porém agora essa possibilidade de ataque de DDoS aumentou muito, sendo usado por atacantes mais iniciantes de negação de serviço DDoS.
“Com esse novo tipo de ataque DDoS, percebemos que após um período inicial de utilização por atacantes avançados, percebemos que essa nova técnica também esta sendo utilizada por atacantes novatos, só que agora de forma muita mais difundida do que anteriormente acontecia”, disse Netscout.
Tais plataformas são usados por agentes de ameaça, hacktivistas, ou simpatizantes sem os conhecimentos ou tempo para investir na construção da sua própria infra-estrutura de DDoS.
Acabam alugando serviços de hosting para iniciar os ataques DDoS em larga escala, visando servidores ou sítios por várias razões, desencadeando uma negação de serviço que normalmente os faz cair ou causa interrupções.
Medidas de prevenção
As ampresas afetadas por esse tipo de ataques que exploram seus servidores com serviço de RDP para potencializar, podem configurar para que o serviço seja encerrado completamente devido ao consumo excessivo do trafego, aumento repentino de estados de conexões do firewall pfsense e etc.”.
Embora a filtragem de todo o tráfego na porta UDP/3389 possa mitigar tais ataques, isto também pode levar ao bloqueio de conexões de tráfego legítimo, incluindo respostas da sessão RDP.
Para diminuir adequadamente o impacto de tais ataques, as empresas podem desativar completamente o serviço vulnerável baseado no UDP em servidores Windows RDP ou disponibilizar os servidores apenas via VPN, movendo-os para trás de um pfSense firewall.
Dessa forma as empresas que estão em risco são aconselhadas a implementar proteção contra DDoS em servidores aberto ao público, para responder de forma segura a um ataque de DDoS na porta 3389/RDP.
Em 2019, a Netscout também identificou ataques DDoS contra o Serviço de Gestão Remota da Apple (ARMS) que era executado em servidores Mac OS, como sendo um vetor de ampliação do ataque.
Os ataques ARMS-abusivos DDoS detectados atingiram um pico de 70 Gbps, com uma taxa de aumento de 35,5:1.
CISA fornece orientação sobre como evitar e tornar-se uma vítima de DDoS, como detectar ataques DDoS, bem como que ações para evitar os ataques DDoS.