O RDP é um serviço embutido nos sistemas operativos Windows que torna possível o acesso virtual de infraestrutura (VDI) em workstations e servidores Windows. Este serviço está configurado para correr nas porta 3389 TCP e UDP.

Investigadores do Netscout descobriram que particularmente na UDP 3389, os atacantes podiam abusar do serviço para desencadear ataques de amplificação. Ora, para abusar do serviço, simplesmente enviavam pacotes UDP modificados às portas UDP dos servidores com o serviço de RDP, e esses pacotes refletir-se-iam no alvo depois de amplificados no tamanho.

De momento, os investigadores verificam e descobriram 14.000 servidores expostos que podiam ser abusados.

Prevenção

- Desabilitar o serviço baseado em UDP

- lançar os servidores de RDP por trás dos concentradores de VPN

Mais informações: https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/