[ Tráfego 9/Out a 7/Nov: 364.110 page views - 138.067 usuários ] - [ Newsletter 5.537 assinantes Open rate 27%]

33 milhões de servidores Microsoft RDP vulneráveis sob ataque de DDoS

Da Redação
27/01/2021

Hackers estão explorando o protocolo RDP (Remote Desktop Protocol) para invadir servidores Microsoft vulneráveis e amplificar ataques distribuídos de negação de serviço (DDoS, na sigla em inglês), de acordo com um relatório da Netscout. 

Os pesquisadores da fornecedora de soluções de segurança cibernética identificaram cerca de 33 mil servidores Microsoft RDP vulneráveis ​​que podem ser usados ​​por operadores de ameaças para aumentar seus ataques DDoS. RDP é um protocolo de comunicação proprietário da Microsoft que os administradores de sistema e funcionários usam para se conectar remotamente a sistemas e serviços corporativos.

O Microsoft RDP pode ser configurado por administradores de sistemas Windows para rodar na porta TCP 3389 ou na porta UDP 3389, de acordo com o relatório da Netscout. 

Os pesquisadores descobriram que quando o serviço RDP da Microsoft é configurado para a porta UDP 3389, os ataques podem amplificar os pacotes de rede com portas vulneráveis ​​e redirecionar o tráfego para endereços IP, aumentando a extensão de um ataque DDoS, de acordo com o relatório. 

Em alguns casos, os pesquisadores da Netscout encontraram uma taxa de amplificação de 85,9: 1, o que significa que para cada 10 gigabytes por segundo (Gbps) de solicitações direcionadas a um servidor RDP, o hacker poderia redirecionar 860 Gbps de tráfego de rede no endereço IP de destino.

“Os tamanhos dos ataques observados variam de aproximadamente 20 Gbps a 750 Gbps”, de acordo com o relatório da Netscout. “Como é rotineiramente o caso com vetores de ataque DDoS mais recentes, parece que após um período inicial de emprego por hackers com acesso à infraestrutura de ataque DDoS sob medida, a reflexão/amplificação do RDP foi transformada em arma e adicionada aos arsenais do chamado booter/serviços de DDoS de aluguel, colocando-os ao alcance de invasores.

Veja isso
Ataques ao protocolo RDP aumentaram 235% no Brasil em 2020
SANS registra 30% de aumento em número de ataques via RDP

“Em julho de 2020, o FBI alertou que, desde o início da pandemia COVID-19, os agentes de ameaças têm usado vários meios para amplificar e conduzir ataques DDoS maiores e mais destrutivos. 

DDoS em alta

O relatório Netscout observa que não é prático filtrar todo o tráfego de rede usando a porta UDP 3389, porque isso pode bloquear solicitações legítimas de administradores de sistema, incluindo conexões RDP. 

Em vez disso, os pesquisadores da Netscout recomendam que os administradores do Windows garantam que os servidores RDP sejam protegidos por um serviço VPN para garantir que não fiquem diretamente expostos à internet. “Em muitos casos, encontramos situações em que elementos óbvios, como servidores da web voltados para o público, foram protegidos de forma adequada, mas servidores DNS autorizados, servidores de aplicativos e outros elementos essenciais de entrega de serviço foram negligenciados, deixando-os vulneráveis ​​a ataques”, afirmam.

Além do alerta do FBI no ano passado, a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos Estados Unidos também alertou que os ataques DDoS se tornaram mais frequentes, visando agências governamentais e instituições financeiras. 

Uma razão pela qual os ataques DDoS estão aumentando, em parte, é que os hackers veem uma oportunidade de interromper a força de trabalho remota, bem como as escolas que dependem de aprendizagem remota, de acordo com a CISA e pesquisadores de segurança. Além disso, os operadores de DDoS estão adicionando um elemento de extorsão a esses ataques, que está sendo alimentado pelo aumento no valor do bitcoin.

Compartilhar: