Remote Desktop Protocol (RDP) er navnet på en nettverksprotokoll i Windows som brukes til fjernpålogging på Windows-systemer, ofte benyttet av nettverksadministratorer til å administrere og konfigurere servere på flere avdelingskontorer fra ett sentralt sted.
Protokollen har vært gjenstand for en del sikkerhetsmessige svakheter gjennom årene, og nå har sikkerhetsforskere oppdaget en ny RDP-relatert trussel. Det melder Ars Technica.
33 000 eksponerte servere
Sikkerhetsselskapet Netscout rapporterer at ondsinnede aktører nå utnytter RDP til å forsterke effekten av såkalte tjenestenektangrep, DDoS, gjennom det som kalles refleksjonsangrep. Ifølge Netscout utføres angrepene via UDP-porten 3389, som er den som brukes av RDP.
– RDP-tjenesten kan utnyttes til å utføre UPD-refleksjonsangrep med en forsterkelsesrate på 85.9:1 via UDP/3389. Den forsterkede angrepstrafikken består av ikke-fragmenterte UDP-pakker sendt fra UDP/3389 til IP-adressen og UDP-portene som angriperen har valgt ut, skriver sikkerhetsselskapet.
Netscout har identifisert rundt 33 000 RDP-servere som er sårbare for denne type angrep, og de observerte angrepene har volum på mellom 20 Gb/s og 750 Gb/s.
Selskapet sier at RDP-refleksjonsangrep har blitt lagt til arsenalet til tilbyderne av DDoS-som-tjeneste, som gjør teknikken tilgjengelig for for et stort antall angripere.
Kan gjøre stor skade
Skadevirkningene kan bli potensielt store for organisasjoner og bedrifter som benytter de sårbare RDP-serverne. Blant annet kan kritiske fjerntilgangstjenester bli helt eller delvis satt ut av spill, ifølge Netscout.
Som mottiltak anbefaler sikkerhetsselskapet at nettverksoperatører identifiserer RDP-servere på nettverkene deres som kan utnyttes, og det anbefales også sterkt å kun gjøre RDP-servere tilgjengelige via VPN-tjenester for å beskytte dem fra misbruk. Om dette ikke er mulig på kort sikt er en annen mulighet å deaktivere RDP via UDP/3389.
Dårlig sikrede RDP-tilganger er en mye brukt angrepsvektor, blant annet når det gjelder planting av løsepengevirus. Som sikkerhetsselskapet Emsisoft skrev på bloggen for en tid tilbake har bruken av RDP og internett-eksponerte porter økt betraktelig som en følge av pandemien og det faktum at mange jobber hjemmefra, og dette bidrar til å øke risikoen.
