Migliaia di server adibiti a Windows Remote Desktop sparsi nel mondo sarebbero potenzialmente sfruttabili per attacchi DDoS.
Attacchi DDoS tramite Remote Desktop
Stando a quanto riporta l’indagine di Netscout, il servizio di accesso in remoto di Windows sarebbe potenzialmente sfruttabile al fine di amplificare la diffusione di attacchi di tipo DDoS tramite l’invio di pacchetti UDP. Si stima che siano decine di migliaia le aziende coinvolte in questo tipo di attacchi tramite i loro server RDP non protetti, rappresentando un grande problema di sicurezza per loro stesse e per il web in generale.
Il servizio Microsoft Remote Desktop Protocol (RDP) incluso nei sistemi operativi Microsoft Windows ha lo scopo di fornire accesso VDI (Remote Desktop Virtual Infrastructure) autenticato a workstation e server basati su Windows. Il servizio RDP può essere configurato dagli amministratori di sistema Windows per essere eseguito su TCP / 3389 e / o UDP / 3389.
Quando è abilitato su UDP / 3389, il servizio RDP di Microsoft Windows può essere utilizzato in modo improprio per lanciare attacchi di riflessione / amplificazione UDP con un rapporto di amplificazione di 85,9:1. Il traffico di attacco amplificato è costituito da pacchetti UDP non frammentati provenienti da UDP / 3389 e diretti verso gli indirizzi IP di destinazione e le porte UDP scelte dall’aggressore. In contrasto con il traffico di sessione RDP legittimo, i pacchetti di attacco amplificati sono costantemente lunghi 1.260 byte e sono riempiti con lunghe stringhe di zeri. A oggi sono stati identificati circa 33.000 server Windows RDP utilizzabili in modo abusivo.
Che ne pensate di questa vicenda? Fatecelo sapere nei commenti.
Articolo di Windows Blog Italia
Fonte | BleepingComputer