Usan servidores del escritorio remoto de Windows para ampliar ataques DDoS
Dentro de todos los ataques que podemos encontrar en la red, los DDoS han aumentado mucho en los últimos años. Se trata de un problema que tiene como objetivo provocar una denegación de servicios. Por ejemplo puede hacer que una página web no esté disponible para los usuarios. Envían multitud de solicitudes para que colapse. En este artículo nos hacemos eco de cómo utilizan los servidores del escritorio remoto de Windows para ampliar ataques DDoS.
Usan servidores del escritorio remoto de Windows en DDoS
Hay que tener en cuenta que todos los servicios en remoto han ganado popularidad en los últimos tiempos. La pandemia del Covid-19 ha traído cambios importantes y uno de ellos es en la manera en la que nos conectamos a Internet, nos comunicamos y, también, trabajamos. Esto supone una oportunidad para los ciberdelincuentes, que encuentran nuevos métodos donde poder explotar sus ataques. A fin de cuentas suelen atacar aquello que cuenta con más usuarios.
Esta vez se trata del escritorio remoto de Windows (RDP, por sus siglas en inglés). Lo utilizan con el fin de amplificar los ataques de denegación de servicio distribuido (DDoS). El servicio de RDP viene integrado en el sistema operativo Windows y utiliza los puertos TCP 3389 y/o UDP 3389. Permite el acceso autenticado a la infraestructura de escritorio virtual a servidores y estaciones de trabajo.
Según alertan desde Netscout, hay alrededor de 14.000 servidores RDP de Windows vulnerables y que pueden ser accesibles a través de Internet. Ahora son utilizados por este nuevo vector de amplificación DDoS. Ha sido agregado como arma de lo que se conocen como booters, los servicios DDoS de alquiler. Esto hace que esté disponible para la población general.
Alquilan servicios de booters para lanzar ataques DDoS a gran escala dirigidos a servidores o sitios que puede tener diferentes motivos, lo que desencadena una denegación de servicio que comúnmente los derriba o causa interrupciones.
Cómo evitar este problema y estar protegidos
Una organización que se vea afectada por este problema de amplificación de ataques DDoS aprovechando los servidores RDP de Windows podría experimentar el bloqueo completo de los servicios de acceso remoto, así como interrupciones continuas.
Es posible evitar este problema al crear un filtro de todo el tráfico en UDP 3389. Podría mitigar esos ataques, pero también podría bloquear conexiones y tráfico legítimos, algo que incluye las respuestas de la sesión RDP.
Otra opción es deshabilitar completamente el servicio vulnerable basado en UDP en los servidores RDP de Windows o hacer que los servidores estén disponibles solo a través de VPN trasladándolos detrás de un dispositivo de red concentrador de VPN.
De la misma manera, también es recomendable que las organizaciones en riesgo que implementen defensas DDoS para servidores públicos para asegurarse de que puedan responder adecuadamente a un ataque DDoS entrante.
Es importante siempre evitar este tipo de ataques. En otro artículo hablábamos de cómo mitigar ataques DDoS en servidores. Una serie de recomendaciones que debemos poner en práctica para no comprometer la seguridad y no tener problemas en la red.
El artículo Usan servidores del escritorio remoto de Windows para ampliar ataques DDoS se publicó en RedesZone.
Powered by WPeMatico
