SIKKERHET

Sikkerhetsselskap: – Windows' fjernstyringsprotokoll utnyttes til å forsterke DDoS-angrep

Sikkerhetsforskere har funnet ny svakhet i Remote Desktop Protocol.

Remote Desktop Protocol utnyttes i DDoS-sammenheng, ifølge nye funn fra sikkerhetsforskere.
Remote Desktop Protocol utnyttes i DDoS-sammenheng, ifølge nye funn fra sikkerhetsforskere. Illustrasjonsfoto: Digi.no
25. jan. 2021 - 09:50

Remote Desktop Protocol (RDP) er navnet på en nettverksprotokoll i Windows som brukes til fjernpålogging på Windows-systemer, ofte benyttet av nettverksadministratorer til å administrere og konfigurere servere på flere avdelingskontorer fra ett sentralt sted.

Protokollen har vært gjenstand for en del sikkerhetsmessige svakheter gjennom årene, og nå har sikkerhetsforskere oppdaget en ny RDP-relatert trussel. Det melder Ars Technica.

33 000 eksponerte servere

Sikkerhetsselskapet Netscout rapporterer at ondsinnede aktører nå utnytter RDP til å forsterke effekten av såkalte tjenestenektangrep, DDoS, gjennom det som kalles refleksjonsangrep. Ifølge Netscout utføres angrepene via UDP-porten 3389, som er den som brukes av RDP.

– RDP-tjenesten kan utnyttes til å utføre UPD-refleksjonsangrep med en forsterkelsesrate på 85.9:1 via UDP/3389. Den forsterkede angrepstrafikken består av ikke-fragmenterte UDP-pakker sendt fra UDP/3389 til IP-adressen og UDP-portene som angriperen har valgt ut, skriver sikkerhetsselskapet.

Netscout har identifisert rundt 33 000 RDP-servere som er sårbare for denne type angrep, og de observerte angrepene har volum på mellom 20 Gb/s og 750 Gb/s.

Selskapet sier at RDP-refleksjonsangrep har blitt lagt til arsenalet til tilbyderne av DDoS-som-tjeneste, som gjør teknikken tilgjengelig for for et stort antall angripere.

Kan gjøre stor skade

Skadevirkningene kan bli potensielt store for organisasjoner og bedrifter som benytter de sårbare RDP-serverne. Blant annet kan kritiske fjerntilgangstjenester bli helt eller delvis satt ut av spill, ifølge Netscout.

Som mottiltak anbefaler sikkerhetsselskapet at nettverksoperatører identifiserer RDP-servere på nettverkene deres som kan utnyttes, og det anbefales også sterkt å kun gjøre RDP-servere tilgjengelige via VPN-tjenester for å beskytte dem fra misbruk. Om dette ikke er mulig på kort sikt er en annen mulighet å deaktivere RDP via UDP/3389.

Dårlig sikrede RDP-tilganger er en mye brukt angrepsvektor, blant annet når det gjelder planting av løsepengevirus. Som sikkerhetsselskapet Emsisoft skrev på bloggen for en tid tilbake har bruken av RDP og internett-eksponerte porter økt betraktelig som en følge av pandemien og det faktum at mange jobber hjemmefra, og dette bidrar til å øke risikoen.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim
Fra kommandosentralen til Nasjonalt cybersikkerhetssenter (NCSC), som overvåker digitale angrep og trusler mot norske interesser.
Les også

Advarer om destruktivt angrep mot kommune: Alt innhold skal være kryptert, og alle sikkerhetskopier sletta

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra