Aurich Lawson / Getty
Une petite entreprise de vente au détail en Afrique du Nord, un fournisseur de télécommunications nord-américain et deux organisations religieuses distinctes : qu’ont-ils en commun ? Ils utilisent tous des serveurs Microsoft mal configurés qui, pendant des mois ou des années, ont pulvérisé Internet avec des gigaoctets par seconde de données indésirables lors d’attaques par déni de service distribué conçues pour perturber ou supprimer complètement des sites Web et des services.
Au total, une étude récemment publiée par Black Lotus Labs, la branche de recherche de la société de technologie de mise en réseau et d’application Lumen, a identifié plus de 12 000 serveurs (tous exécutant des contrôleurs de domaine Microsoft hébergeant les services Active Directory de l’entreprise) qui étaient régulièrement utilisés pour augmenter la taille des réseaux distribués. – les attaques par déni de service ou DDoS.
Une course aux armements sans fin
Pendant des décennies, les DDoSers se sont battus avec les défenseurs dans une course aux armements sans fin. Au début, les DDoSers regroupaient simplement un nombre toujours plus grand d’appareils connectés à Internet dans des botnets, puis les utilisaient pour envoyer simultanément à une cible plus de données qu’elle ne pouvait en gérer. Les cibles – qu’il s’agisse de jeux, de nouveaux sites ou même de piliers cruciaux de l’infrastructure Internet – ont souvent cédé sous la pression et soit complètement effondrées, soit ralenties en un filet.
Des entreprises comme Lumen, Netscout, Cloudflare et Akamai ont alors riposté avec des défenses qui ont filtré le trafic indésirable, permettant à leurs clients de résister aux torrents. Les DDoSers ont réagi en déployant de nouveaux types d’attaques qui ont temporairement bloqué ces défenses. La course continue de se jouer.
L’une des principales méthodes utilisées par les DDoSers pour prendre le dessus est connue sous le nom de réflexion. Plutôt que d’envoyer directement le torrent de trafic indésirable à la cible, les DDoSers envoient des requêtes réseau à un ou plusieurs tiers. En choisissant des tiers avec des erreurs de configuration connues dans leurs réseaux et en usurpant les demandes pour donner l’impression qu’elles ont été envoyées par la cible, les tiers finissent par refléter les données sur la cible, souvent dans des tailles qui sont des dizaines, des centaines ou même des milliers de fois plus grande que la charge utile d’origine.
Certains des réflecteurs les plus connus sont des serveurs mal configurés exécutant des services tels que les résolveurs DNS ouverts, le protocole de temps réseau, Memcached pour la mise en cache de la base de données et le protocole WS-Discovery trouvé dans les appareils Internet des objets. Également connues sous le nom d’attaques par amplification, ces techniques de réflexion permettent à des DDoS record d’être livrés par le plus petit des botnets.
Quand les contrôleurs de domaine attaquent
Au cours de l’année écoulée, une source croissante d’attaques par réflexion a été le protocole d’accès à l’annuaire léger sans connexion. Dérivation Microsoft du protocole standard d’accès à l’annuaire léger, CLDAP utilise des paquets de protocole de datagramme utilisateur afin que les clients Windows puissent découvrir des services pour authentifier les utilisateurs.
« De nombreuses versions de MS Server encore en service ont un service CLDAP activé par défaut », a écrit Chad Davis, chercheur chez Black Lotus Labs, dans un e-mail. « Lorsque ces contrôleurs de domaine ne sont pas exposés à l’Internet ouvert (ce qui est vrai pour la grande majorité des déploiements), ce service UDP est inoffensif. Mais sur l’Internet ouvert, tous les services UDP sont vulnérables à la réflexion.
Les DDoSers utilisent le protocole depuis au moins 2017 pour multiplier les torrents de données par un facteur de 56 à 70, ce qui en fait l’un des réflecteurs les plus puissants disponibles. Lorsque la réflexion CLDAP a été découverte pour la première fois, le nombre de serveurs exposant le service à Internet se chiffrait à des dizaines de milliers. Après avoir attiré l’attention du public, le nombre a chuté. Depuis 2020, cependant, le nombre a de nouveau augmenté, avec un pic de 60 % au cours des 12 derniers mois seulement, selon Black Lotus Labs.