Atacantes pueden abusar RDP para ejecutar ataques «UDP reflection/amplication» con un radio de amplificación de 85.9:1. Investigadores indican que no ocurre en todos los servidores RDP, mas bien solamente es posible cuando el servicio está disponible en el puerto UDP 3389 y puerto TCP 3389.
Para mitigar el uso de RDP para amplificar los ataques DDoS y su impacto relacionado, los investigadores hicieron una serie de sugerencias a los administradores de sistemas de Windows. En primer lugar, deberían implementar servidores RDP de Windows detrás de los VPN concentrators para evitar que sean abusados para amplificar los ataques DDoS, dijeron.
“Los operadores de red deben realizar un reconocimiento para identificar servidores RDP de Windows abusados en sus redes y/o las redes de sus clientes intermedios”, aconsejaron Dobbins y Bjarnason. «Se recomienda encarecidamente que los servidores RDP sean accesibles solo a través de servicios VPN para protegerlos del abuso».
Si nada de lo anteriormente mencionado funciona, recomiendan a los administradores de sistemas deshabilitar RDP vía UDP puerto 3389.
Más información: