Le protocole Remote Desktop (RDP) inclus dans les systèmes d'exploitation Windows depuis le début des années 2000 rend bien des services. Notamment de permettre l'accès à distance via une infrastructure VDI par exemple à des postes de travail répartis géographiquement à des endroits différents. Pratique donc, mais également risqué puisque ce protocole constitue un vecteur d'attaque bien connu en permettant par exemple, lorsque des serveurs RDP sont ouverts sur Interne, d'être exposés à des attaques par force brute. Leur nombre a d'ailleurs explosé pendant le premier confinement lorsque les entreprises ont ouvert en grand les vannes du télétravail dans l'urgence, sans prendre toutes les précautions requises en termes de sécurité informatique.
Une fois compromis, ces serveurs RDP peuvent ensuite servir de terrain de jeu aux cyberpirates pour leurs méfaits parmi lesquels amplifier des attaques par déni de service. « Lorsqu'il est activé sur UDP / 3389, le service Microsoft Windows RDP peut être utilisé de manière abusive pour lancer des attaques de réflexion / amplification UDP avec un rapport d'amplification de 85,9: 1 », prévient Netscout. « Le trafic d’attaque amplifié se compose de paquets UDP non fragmentés provenant d’UDP / 3389 et dirigés vers la ou les adresses IP de destination et le ou les ports UDP choisis par l’attaquant. Contrairement au trafic de session RDP légitime, les paquets d'attaque amplifiés ont une longueur constante de 1 260 octets et sont remplis de longues chaînes de zéros ».
Du VPN en renfort
Environ 14 000 serveurs Windows RDP ont été identifiés pour être utilisés à des fins d'amplification d'attaques DDoS dont le volume peut être compris entre 20 et 750 Gps. Suffisant donc pour faire tomber de nombreux serveurs et provoquer quantité d'indisponibilités de services dont certains critiques (business, santé...). Pour se prémunir de ce type d'exploit, les administrateurs systèmes ont principalement deux choix : désactiver le service UDP ou bien déployer des serveurs RDP derrière un VPN.
« Les opérateurs de réseau doivent effectuer une reconnaissance pour identifier les serveurs Windows RDP abusifs sur leurs réseaux et / ou les réseaux de leurs clients en aval. Il est fortement recommandé que les serveurs RDP ne soient accessibles que via les services VPN afin de les protéger des abus. Si les serveurs RDP offrant un accès à distance via UDP ne peuvent pas être immédiatement déplacés derrière les concentrateurs VPN, il est fortement recommandé de désactiver RDP via UDP / 3389 à titre provisoire », explique Netscout.