De acordo com alerta emitido pela Netscout no último dia 20, gangues de hackers estão explorando sistemas Windows de Protocolo de Desktop Remoto (RDP) para amplificar o tráfego malicioso como parte de ataques DDoS.
Nem todos os servidores RDP podem ser explorados – somente os sistemas em que a autenticação também está habilitada no UDP port 3389, além do padrão TCP port 3389.
Segundo a Netscout, os cibercriminosos podem enviar pacotes de UDP comprometidos para os servidores RDP que serão utilizados no alvo do ataque de DDoS, ampliando a dimensão do crime e resultando em grande tráfego malicioso para atingir o sistema da vítima.
Esse, para os pesquisadores de segurança, é o chamado “fator de amplificação de DDoS”. Trata-se de uma estratégia que permite aos hackers com recursos limitados a aplicar ataques de DDoS de grande escala, ampliando o tráfego malicioso com a ajuda de sistemas vulneráveis na internet.
No caso do RDP, a Netscout afirmou que o fator de amplificação é de 85.9, sendo que os hackers enviam poucos bytes e geram “pacotes de ataque” que possuem “consistentemente 1,260 bytes em comprimento”.
Vale lembrar que tal fator de amplificação coloca o RDP entre os maiores vetores de amplificação existentes.
Exploração de servidores RDP já é uma realidade
Além da má notícia do fator de amplificação, os cibercriminosos já aprenderam com esse novo vetor, que vem sendo intensamente explorado.
Agora, a Netscout está solicitando aos administradores que contam com servidores RDP expostos online para desativar seus sistemas, modificando-os para o TCP port equivalente ou investindo em VPNs para limitar quem pode interagir com os sistemas vulneráveis.
Até o momento, a Netscout disse ter identificado mais de 33 mil servidores de RDP que estão vulneráveis na internet e funcionando no UDP port 3389.
FONTE: ZDNet
Créditos da imagem de destaque: rawpixel.com