Qu’est-ce que deux entreprises sur deux continents différents peuvent avoir en commun ? Serveurs Microsoft mal configurés qui ont craché des gigaoctets par seconde de paquets indésirables provoquant des attaques par déni de service distribué (DDOS) sur des services et des entreprises sans méfiance. Ces attaques peuvent certainement perturber une entreprise ou, dans certains cas, la mettre hors service sans protection adéquate, ce qui n’est souvent pas abordable pour une petite entreprise.
Selon un récent rapport publié par Black Lotus Labs, plus de 12 000 serveurs exécutant des contrôleurs de domaine Microsoft avec Active Directory étaient souvent utilisés pour amplifier les attaques DDOS. Pendant des années, cela a été une bataille constante entre attaquant et défenseur, souvent tout ce que l’attaquant avait à faire était de prendre le contrôle d’une liste sans cesse croissante d’appareils connectés dans un botnet et de les utiliser pour attaquer. L’une des méthodes d’attaque les plus courantes s’appelle la réflexion. La réflexion se produit lorsqu’au lieu d’inonder un appareil avec des paquets de données, les attaquants envoient l’attaque à des serveurs tiers. L’utilisation de tiers avec des serveurs mal configurés et l’usurpation des paquets donnent l’impression que l’attaque provient de la cible. Ces serveurs tiers finissent sans le savoir par refléter l’attaque sur la cible souvent dix fois plus importante qu’elle n’a commencé.
Une source croissante d’attaques au cours de l’année dernière a été le protocole CLDAP (Connectionless Lightweight Directory Access Protocol), qui est une version du protocole LDAP (Lightweight Directory Access Protocol) standard. CLDAP utilise des paquets User Datagram Protocol pour authentifier les utilisateurs et découvrir les services lors de la connexion à Active Directory. Chad Davis, chercheur chez Black Lotus, a déclaré ceci dans un récent e-mail.
« Lorsque ces contrôleurs de domaine ne sont pas exposés à l’Internet ouvert (ce qui est vrai pour la grande majorité des déploiements), ce service UDP est inoffensif. Mais sur l’Internet ouvert, tous les services UDP sont vulnérables à la réflexion. »
Les attaquants utilisent le protocole depuis 2007 pour amplifier les attaques. Lorsque les chercheurs ont découvert pour la première fois la mauvaise configuration des serveurs CLDAP, le nombre se chiffrait à des dizaines de milliers. Une fois que le problème a été porté à l’attention de l’administrateur, le nombre a considérablement diminué, bien qu’il ait de nouveau fortement augmenté depuis 2020, y compris une augmentation de près de 60 % au cours de l’année écoulée selon Black Lotus Labs.
Black Lotus a proposé les conseils suivants aux organisations exécutant CLDAP.
- Administrateurs réseau : pensez à ne pas exposer le service CLDAP (389/UDP) à l’Internet ouvert.
- Si l’exposition du service CLDAP à l’Internet ouvert est absolument nécessaire, veillez à sécuriser et à défendre le système :
- Sur les versions de MS Server prenant en charge le ping LDAP sur le service TCP LDAP, désactivez le service UDP et accédez au ping LDAP via TCP.
- Si la version de MS Server ne prend pas en charge le ping LDAP sur TCP, limitez le débit du trafic généré par le service 389/UDP pour empêcher son utilisation dans DDoS.
- Si la version de MS Server ne prend pas en charge le ping LDAP sur TCP, un pare-feu accède au port afin que seuls vos clients légitimes puissent accéder au service.
- Défenseurs du réseau : mettez en œuvre certaines mesures pour empêcher le trafic IP usurpé, telles que le Reverse Path Forwarding (RPF), soit lâche, soit, si possible, strict. Pour plus de conseils, l’initiative MANRS propose une discussion approfondie sur directives anti-usurpation d’identité et applications du monde réel.
Black Lotus a notifié et aidé les administrateurs qu’ils ont trouvés vulnérables dans un espace IP fourni par Lumen. Microsoft n’a pas commenté les résultats.
Passant par Arstechnica
