.
Aurich Lawson / Getty
Um pequeno negócio de varejo no norte da África, um provedor de telecomunicações norte-americano e duas organizações religiosas distintas: o que eles têm em comum? Todos eles estão executando servidores Microsoft mal configurados que há meses ou anos pulverizam a Internet com gigabytes por segundo de dados indesejados em ataques distribuídos de negação de serviço projetados para interromper ou derrubar completamente sites e serviços.
Ao todo, uma pesquisa recentemente publicada do Black Lotus Labs, o braço de pesquisa da empresa de tecnologia de rede e aplicação Lumen, identificou mais de 12.000 servidores – todos executando controladores de domínio da Microsoft que hospedam os serviços do Active Directory da empresa – que eram usados regularmente para ampliar o tamanho dos -ataques de negação de serviço, ou DDoSes.
Uma corrida armamentista sem fim
Por décadas, os DDoSers lutaram com os defensores em uma corrida armamentista sem fim. No início, os DDoSers simplesmente encurralaram um número cada vez maior de dispositivos conectados à Internet em botnets e os usaram para enviar simultaneamente a um destino mais dados do que ele poderia manipular. Os alvos – sejam eles jogos, novos sites ou até mesmo pilares cruciais da infraestrutura da Internet – muitas vezes cederam à tensão e caíram completamente ou diminuíram a velocidade.
Empresas como Lumen, Netscout, Cloudflare e Akamai reagiram com defesas que filtravam o tráfego indesejado, permitindo que seus clientes resistissem aos torrents. Os DDoSers responderam lançando novos tipos de ataques que frustraram temporariamente essas defesas. A corrida continua a acontecer.
Um dos principais métodos que os DDoSers usam para ganhar vantagem é conhecido como reflexão. Em vez de enviar a torrente de tráfego indesejado diretamente para o alvo, os DDoSers enviam solicitações de rede para um ou mais terceiros. Ao escolher terceiros com erros de configuração conhecidos em suas redes e falsificar as solicitações para dar a impressão de que foram enviadas pelo destino, os terceiros acabam refletindo os dados no destino, geralmente em tamanhos de dezenas, centenas ou até milhares vezes maior que a carga original.
Alguns dos refletores mais conhecidos são servidores mal configurados que executam serviços como resolvedores de DNS abertos, o protocolo de tempo de rede, memcached para armazenamento em cache de banco de dados e o protocolo WS-Discovery encontrado em dispositivos de Internet das Coisas. Também conhecidas como ataques de amplificação, essas técnicas de reflexão permitem que DDoSes recordes sejam entregues pelo menor dos botnets.
Quando os controladores de domínio atacam
Ao longo do ano passado, uma fonte crescente de ataques de reflexão tem sido o Connectionless Lightweight Directory Access Protocol. Uma derivação da Microsoft do Lightweight Directory Access Protocol padrão do setor, o CLDAP usa pacotes do User Datagram Protocol para que os clientes Windows possam descobrir serviços para autenticar usuários.
“Muitas versões do MS Server ainda em operação têm um serviço CLDAP ativado por padrão”, escreveu Chad Davis, pesquisador do Black Lotus Labs, em um e-mail. “Quando esses controladores de domínio não são expostos à Internet aberta (o que é verdade para a grande maioria das implantações), esse serviço UDP é inofensivo. Mas na Internet aberta, todos os serviços UDP são vulneráveis à reflexão.”
Os DDoSers usam o protocolo desde pelo menos 2017 para ampliar torrents de dados por um fator de 56 a 70, tornando-o um dos refletores mais poderosos disponíveis. Quando a reflexão CLDAP foi descoberta pela primeira vez, o número de servidores expondo o serviço à Internet estava na casa das dezenas de milhares. Depois de chamar a atenção do público, o número caiu. Desde 2020, no entanto, o número subiu mais uma vez, com um aumento de 60% apenas nos últimos 12 meses, de acordo com o Black Lotus Labs.
.
