Windows-servers versterken DDoS-aanvallen

Onderzoekers van Black Lotus Labs hebben wereldwijd meer dan 12.000 verkeerd geconfigureerde Windows-servers gevonden, die op regelmatige basis misbruikt worden om DDoS-aanvallen van derden te versterken. Het gaat om computers die dienst doen als domain-controller waarbij ze de Active Directory-services van Microsoft draaien.

Stevige salvoversterking

Naast dat indrukwekkende aantal van Windows-servers die DDoS-aanvallen versterken, is er het feit dat er flinke groei in zit. "Onze analyse toont aan dat ze weer in de lift zitten: we hebben een toename van meer dan 60% gezien over de afgelopen twaalf maanden", melden de onderzoekers van Black Lotus Lab, dat de onderzoeksgroep is van techleverancier Lumen. Het aantal verkeerd geconfigureerde Windows-servers dat daardoor misbruikt wordt door DDoS'ers is gegroeid van zo'n zevenduizend stuks naar meer dan twaalfduizend.

De foute instelling waardoor deze computers zich goed lenen voor DDoS-versterking zit in UDP-services (User Datagram Protocol) die daarop draaien, specifiek het Connectionless Lightweight Directory Access Protocol (CLDAP). Dat protocol maakt het mogelijk om een 'salvo' van een DDoS-aanval te versterken met een factor 56 tot wel factor 70, stellen de security-onderzoekers in hun blogpost hierover.

Jaren oud

Op zich is het fenomeen van zogeheten CLDAP-reflectors - voor de versterking van DDoS-aanvallen - niet nieuw. Zo heeft internetbedrijf Akamai het al begin 2017 opgemerkt en afgeweerd. Veel van de door Black Lotus geïdentificeerde Windows-servers doen maanden dienst voor DDoS-reflectie en sommige zelfs jaren. De gemiddelde leeftijd van de 12.142 reflectors is 131 dagen.