‘Microsoft Remote Desktop Protocol kan DDoS-aanvallen versterken’

Abonneer je gratis op Techzine!

Met behulp van het Microsoft Remote Desktop Protocol kunnen DDoS-aanvallers hun aanvallen versterken. Dat stelt securitybedrijf Netscout na onderzoek.

Volgens het onderzoek van Netscout helpt het Microsoft Remote Desktop Protocol (RDP) hackers om gedistribueerde DDoS-aanvallen te versterken en zo websites en andere onlinediensten plat te leggen. De techniek wordt volgens de onderzoekers vooral gebruikt door zogenaamde DDoS-as-a-Service-aanbieders.

Microsoft Remote Desktop Protocol

RDP is een onderdeel van Microsoft Windows dat met zowel de onderliggende UDP- als het TCP-protocollen de authenticatie verzorgt waarmee een op Windows gebaseerde device via het internet kan inloggen op andere Windows devices. Denk hierbij aan laptops die contact zoeken met bijvoorbeeld servers.

Bedrijven gebruiken dit protocol vaak om werknemers makkelijk en zonder problemen op afstand toegang tot een ander device te geven. Dit in plaats van dat een werknemer dit fysiek op een locatie moeten doen. Het RDP-protocol helpt hierbij door voor login-verzoeken een veel langere opeenvolging van bits te versturen, zodat er sneller een verbinding tussen de twee devices kan worden opgezet.

Kwetsbaarheid in UDP-protocol

Hackers kunnen nu deze techniek misbruiken door het versturen van data naar een IP-adres of device een flinke boost te geven. Hierdoor krijgen de aangevallen websites of online diensten een enorme overvloed van dataverzoeken te verwerken, zodat zij crashen en offline gaan.

Volgens Netscout ligt de belangrijkste kwetsbaarheid vooral in UDP, meer specifiek het UDP/3389-protocol. Met behulp van een klein pakketje data kunnen hackers zogenoemde niet-gefragmenteerde UPD-pakketjes naar een IP-adres of UDP-poort sturen. Deze pakketjes zijn ongeveer 1.260 bytes in lengte, maar door de versterkende werking van het RDP-protocol krijgen de aanvallen een omvang van tussen de 20 Gbps tot 750 Gbps. Ook aanvallen van 850 Gbps zijn mogelijk. Voldoende om websites en online diensten plat te leggen. Inmiddels hebben de onderzoekers al 33.000 kwetsbare Windows RDP servers ontdekt die voor deze specifieke aanvalsmethode vatbaar zijn.

Oplossing

De onderzoekers van Netscout vinden dat bedrijven snel moeten onderzoeken welke eigen RDP-servers -en die van hun eindgebruikers- kwetsbaar zijn voor deze nieuwe aanvalsmethode. Als oplossing voor het probleem stellen de onderzoekers dat RDP-servers alleen toegankelijk moeten zijn via VPN-diensten. Wanneer het niet direct mogelijk is de RDP-servers die externe toegang verlenen via het UDP-protocol via VPN te beschermen, moeten bedrijven direct tijdelijk het UDP/3389-protocol uitschakelen.