Forskare vid Netscout har upptäckt en ny DDoS-attackvektor, där angriparna missbrukar Windows RDP-servrar för att förstärka skräptrafiken samtidigt som de träffar mål. Kryphålet i detta är att RDP-servrar exponeras på port 3389, vilket skulle låta angripare med färre resurser förstärka allmän trafik till skräp.
En ny DDoS-attackvektor
Netscout, ett cybersäkerhetsföretag, släppte en varning på tisdagen, där den beskrev en ny DDoS-attackvektor. Distributed Denial of Service (DDoS) handlar om att driva skadlig trafik mot en webbplats eller en server så att den krossar hanteringen av mer än sin kapacitet.
Detta hindrar äkta användare från att komma åt tjänsten medan den är nere. Eftersom attacker från en enda enhet lätt kan upptäckas, använder hackare ofta flera enheter från olika platser för att attackera samtidigt, och blir därför distribuerade och svåra att spåra. En ny vektor för att göra detta upptäcktesdär angriparna använder Windows RDP-servrar.
Här, de riktar in sig på RDP-servrarna som har RDP-autentisering på och med UDP-port 3389 aktiverad över den allmänna TCP-porten 3389. Från att starta den skulle angripare initialt skicka felaktiga UDP-paket till RDP-servrarna, som studsas tillbaka av UDP-portar mot målets system i förstärkt storlek.
Som forskare upptäckte kan angripare förstärka denna attack på ett utmärkt sätt, eftersom att skicka bara några byte av dataförfrågan till RDP-servrar returnerar cirka 1 260 byte av attackpaket mot målet. Detta låter hackare med till och med låga resurser starta storskaliga attacker, så det fick en förstärkningsfaktor på 85,9.
Angripare missbrukar detta så kraftigt att det nu läggs till i paketet för booter/stresser DDoS-for-hire, vilket ger de allmänna angriparna ett nytt val. Således varnar forskare systemadministratörer för använda VPN på sådana sårbara RDP-servrar eller byta dem till en motsvarande TCP-port eller dra dem offline för att undvika attacker.
