Remote Desktop Protocol

Sikkerhetsselskap: – Windows' fjernstyringsprotokoll utnyttes til å forsterke DDoS-angrep

Sikkerhetsforskere har funnet ny svakhet i Remote Desktop Protocol.

Remote Desktop Protocol utnyttes i DDoS-sammenheng, ifølge nye funn fra sikkerhetsforskere.
Remote Desktop Protocol utnyttes i DDoS-sammenheng, ifølge nye funn fra sikkerhetsforskere. (Illustrasjonsfoto: Digi.no)

Sikkerhetsforskere har funnet ny svakhet i Remote Desktop Protocol.

Remote Desktop Protocol (RDP) er navnet på en nettverksprotokoll i Windows som brukes til fjernpålogging på Windows-systemer, ofte benyttet av nettverksadministratorer til å administrere og konfigurere servere på flere avdelingskontorer fra ett sentralt sted.

Protokollen har vært gjenstand for en del sikkerhetsmessige svakheter gjennom årene, og nå har sikkerhetsforskere oppdaget en ny RDP-relatert trussel. Det melder Ars Technica.

33 000 eksponerte servere

Sikkerhetsselskapet Netscout rapporterer at ondsinnede aktører nå utnytter RDP til å forsterke effekten av såkalte tjenestenektangrep, DDoS, gjennom det som kalles refleksjonsangrep. Ifølge Netscout utføres angrepene via UDP-porten 3389, som er den som brukes av RDP.

– RDP-tjenesten kan utnyttes til å utføre UPD-refleksjonsangrep med en forsterkelsesrate på 85.9:1 via UDP/3389. Den forsterkede angrepstrafikken består av ikke-fragmenterte UDP-pakker sendt fra UDP/3389 til IP-adressen og UDP-portene som angriperen har valgt ut, skriver sikkerhetsselskapet.

Netscout har identifisert rundt 33 000 RDP-servere som er sårbare for denne type angrep, og de observerte angrepene har volum på mellom 20 Gb/s og 750 Gb/s.

Selskapet sier at RDP-refleksjonsangrep har blitt lagt til arsenalet til tilbyderne av DDoS-som-tjeneste, som gjør teknikken tilgjengelig for for et stort antall angripere.

Kan gjøre stor skade

Skadevirkningene kan bli potensielt store for organisasjoner og bedrifter som benytter de sårbare RDP-serverne. Blant annet kan kritiske fjerntilgangstjenester bli helt eller delvis satt ut av spill, ifølge Netscout.

Som mottiltak anbefaler sikkerhetsselskapet at nettverksoperatører identifiserer RDP-servere på nettverkene deres som kan utnyttes, og det anbefales også sterkt å kun gjøre RDP-servere tilgjengelige via VPN-tjenester for å beskytte dem fra misbruk. Om dette ikke er mulig på kort sikt er en annen mulighet å deaktivere RDP via UDP/3389.

Dårlig sikrede RDP-tilganger er en mye brukt angrepsvektor, blant annet når det gjelder planting av løsepengevirus. Som sikkerhetsselskapet Emsisoft skrev på bloggen for en tid tilbake har bruken av RDP og internett-eksponerte porter økt betraktelig som en følge av pandemien og det faktum at mange jobber hjemmefra, og dette bidrar til å øke risikoen.

Les også

Kommentarer (7)

Kommentarer (7)
Til toppen