Co mają wspólnego dwie różne firmy na dwóch różnych kontynentach? Nieprawidłowo skonfigurowane serwery z Windows, które na sekundę wysyłają gigabajty niepotrzebnych pakietów, powodując rozproszone ataki typu Denial-of-service (DDoS) na niczego niepodejrzewające usługi i firmy. Ataki te z pewnością mogą zakłócić działanie biznesów, a w niektórych przypadkach nawet je zniszczyć — zwłaszcza gdy firmy nie inwestują w ochronę.
Według niedawno opublikowanego raportu Black Lotus Labs do wzmagania ataków DDoS często używano ponad 12 tys. serwerów z kontrolerami domeny Microsoft i usługą Active Directory. Przez lata przestępcy przejmowali kontrolę nad stale rosnącą listą urządzeń połączonych z botnetem i używali ich do ataku. Jedną z bardziej powszechnych metod ataków jest odbicie ("reflection"). Ma ono miejsce, gdy zamiast zalać jedno urządzenie pakietami danych, atakujący wysyłają atak na serwery zewnętrzne. Wykorzystywanie zewnętrznych podmiotów z nieprawidłowo skonfigurowanymi serwerami i fałszowanie pakietów sprawia wrażenie, że atak pochodzi od celu. Serwery te ostatecznie odbijają atak na cel, często dziesięciokrotnie większy niż na początku.
Rosnącym źródłem ataków w ciągu ostatniego roku jest Connectionless Lightweight Directory Access Protocol (CLDAP), który jest wersją standardowego Lightweight Directory Access Protocol (LDAP). CLDAP używa pakietów User Datagram Protocol do uwierzytelniania użytkowników i wykrywania usług podczas logowania do Active Directory. Chad Davis, badacz z Black Lotus, powiedział: Gdy te kontrolery domeny nie są wystawione na otwarty Internet (co jest prawdą w przypadku ogromnej większości wdrożeń), ta usługa UDP jest nieszkodliwa. Jednak w otwartym Internecie wszystkie usługi UDP są podatne na odbicie.
Atakujący używają tego protokołu od 2007 roku do nasilania ataków. Kiedy badacze po raz pierwszy odkryli błędną konfigurację serwerów CLDAP, liczba ta wynosiła dziesiątki tysięcy. Po zwróceniu uwagi administratora na tę kwestię liczba znacznie spadła, choć od 2020 r. ponownie gwałtownie wzrosła, w tym o prawie 60% w ubiegłym roku. Black Lotus udostępnił listę porad dla administratorów, a także poinformował Microsoft. Ten jeszcze nie skomentował tych odkryć.