Plus de 12 000 serveurs Microsoft mal configurés ont été découverts en train d’être abusés pour mener un déni de service distribué incroyablement puissant (DDoS (s’ouvre dans un nouvel onglet)) attaques.
Les chercheurs en cybersécurité de Black Lotus Labs ont découvert un total de 12 142 serveurs équipés de contrôleurs de domaine Microsoft hébergeant les services Active Directory de l’entreprise qui étaient utilisés par plusieurs variantes de logiciels malveillants pour augmenter la taille des attaques DDoS.
Les serveurs appartiennent à toutes sortes d’organisations, des organisations religieuses en Amérique du Nord aux entités commerciales en Afrique du Nord.
Abusé pendant des mois
Certains des plus puissants ont dépassé 10 Gbps dans le trafic indésirable et ont atteint 17 Gbps, ont déclaré les chercheurs. Parler à Ars Technica dans un e-mail, Chad Davis, chercheur au Black Lotus Lab, a déclaré que le trafic était suffisamment important pour DoS certains serveurs moins bien provisionnés « tout seul ». « En théorie, une centaine d’entre eux, travaillant à l’unisson, pourraient générer un térabit par seconde de trafic d’attaque », a-t-il déclaré.
Certains de ces serveurs ont été abusés pendant des mois, ont en outre découvert des chercheurs. L’un, découvert en Amérique du Nord, envoyait des gigs de trafic indésirable pendant 18 mois, culminant à 2 Gbps.
Comment ont-ils pu produire un rendement aussi élevé? En servant d’amplificateurs, ou de réflecteurs. Au lieu d’utiliser les points de terminaison de serveur compromis (s’ouvre dans un nouvel onglet) pour envoyer directement le trafic indésirable aux cibles, et ainsi risquer d’être repérés, les attaquants enverraient d’abord des requêtes réseau à des tiers. Si ces tiers étaient mal configurés dans leurs réseaux, comme l’étaient ces serveurs, les demandes pourraient être usurpées comme si elles provenaient de ces tiers eux-mêmes. Non seulement cela, mais les serveurs pourraient refléter les données sur la cible dans des tailles des milliers de fois plus grandes que la charge utile d’origine.
Selon Ars Technicacertains des réflecteurs les plus populaires sont des serveurs mal configurés exécutant des résolveurs DNS ouverts, le protocole de temps réseau, Memcached pour la mise en cache de la base de données et le protocole WS-Discovery que l’on trouve généralement dans les appareils IoT.
Plus récemment, les pirates ont commencé à utiliser le protocole CLDAP (Connectionless Lightweight Directory Access Protocol) comme source d’attaques par réflexion. En tant que variante de Microsoft du protocole d’accès à l’annuaire léger, CLDAP utilise des paquets de protocole de datagramme utilisateur afin que les clients Windows puissent découvrir des services pour authentifier les utilisateurs, explique la publication. Apparemment, les acteurs de la menace utilisent ce protocole depuis cinq ans maintenant, grossissant jusqu’à 70 fois les torrents de données.
Le rapport complet est disponible sur ce lien (s’ouvre dans un nouvel onglet).
Par: Ars Technica (s’ouvre dans un nouvel onglet)