26-01-2021, 09:49
D'après le fournisseur de produits de gestion des performances des applications et des réseaux NetScout Systems, environ 14 000 serveurs Windows RDP ont été identifiés pour être utilisés à des fins d'amplifications d'attaques DDoS.
En effet le protocole Remote Desktop (RDP) inclus dans les systèmes d'exploitation Windows depuis le début des années 2000 rend bien des services. Notamment de permettre l'accès à distance à des postes de travail répartis géographiquement à des endroits différents. Pratique donc, mais également risqué puisque ce protocole constitue un vecteur d'attaque bien connu en permettant par exemple, lorsque des serveurs RDP sont ouverts, d'être exposés à des attaques par force brute. Leur nombre a d'ailleurs explosé pendant le premier confinement lorsque les entreprises ont ouvert en grand les vannes du télétravail dans l'urgence, sans prendre toutes les précautions requises en termes de sécurité informatique. Une fois compromis, ces serveurs RDP peuvent ensuite servir de terrain de jeu aux cyberpirates pour leurs méfaits parmi lesquels amplifier des attaques par déni de service.
Techniquement : « Lorsqu'il est activé sur UDP / 3389, le service Microsoft Windows RDP peut être utilisé de manière abusive pour lancer des attaques de réflexion / amplification UDP avec un rapport d'amplification de 85,9: 1 », prévient Netscout. « Le trafic d’attaque amplifié se compose de paquets UDP non fragmentés provenant d’UDP / 3389 et dirigés vers la ou les adresses IP de destination et le ou les ports UDP choisis par l’attaquant. Contrairement au trafic de session RDP légitime, les paquets d'attaque amplifiés ont une longueur constante de 1 260 octets et sont remplis de longues chaînes de zéros ».
En effet le protocole Remote Desktop (RDP) inclus dans les systèmes d'exploitation Windows depuis le début des années 2000 rend bien des services. Notamment de permettre l'accès à distance à des postes de travail répartis géographiquement à des endroits différents. Pratique donc, mais également risqué puisque ce protocole constitue un vecteur d'attaque bien connu en permettant par exemple, lorsque des serveurs RDP sont ouverts, d'être exposés à des attaques par force brute. Leur nombre a d'ailleurs explosé pendant le premier confinement lorsque les entreprises ont ouvert en grand les vannes du télétravail dans l'urgence, sans prendre toutes les précautions requises en termes de sécurité informatique. Une fois compromis, ces serveurs RDP peuvent ensuite servir de terrain de jeu aux cyberpirates pour leurs méfaits parmi lesquels amplifier des attaques par déni de service.
Techniquement : « Lorsqu'il est activé sur UDP / 3389, le service Microsoft Windows RDP peut être utilisé de manière abusive pour lancer des attaques de réflexion / amplification UDP avec un rapport d'amplification de 85,9: 1 », prévient Netscout. « Le trafic d’attaque amplifié se compose de paquets UDP non fragmentés provenant d’UDP / 3389 et dirigés vers la ou les adresses IP de destination et le ou les ports UDP choisis par l’attaquant. Contrairement au trafic de session RDP légitime, les paquets d'attaque amplifiés ont une longueur constante de 1 260 octets et sont remplis de longues chaînes de zéros ».
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
