Neuer DDoS-Amplification-Vektor WS Discovery Protokoll

Im 1. Halbjahr 2019 konnte ein neuer Angriffsvektor identifiziert werden. Angreifer missbrauchen seit Mitte des Jahres das Web Services Discovery (WS-Discovery, WS-DD oder WSD) Protokoll.* Dabei handelt es sich um ein Multicast-Discovery-Protokoll, um LAN-Dienste zu lokalisieren. Die Kommunikation erfolgt mittels SOAP via UDP auf dem Quell-Port 3702. Der Standard wurde 2005 veröffentlicht.

Mit Stand vom Oktober 2019 scheint der neue Vektor schon fest zum Handwerkszeug von DDoS-Kriminellen und Booter-Diensten zu gehören. Bei den aggressiven und hochvolumigen DDoS-Attacken im Namen von Fancy Bear wurde wiederholt WS Discovery als Reflection-Vektor registriert.

Die Verstärkungsmethode hat das Potenzial große Schäden anzurichten. Der Amplification-Faktor kann Spitzenwerte bis zum 100-Fachen der ursprünglichen Attacke erreichen. Zum Vergleich: DNS verfügt über einen Amplification-Faktor von 28 bis 54, CLDAP von 56 bis 70. Die bislang registrierten Attacken unter Einsatz von WSD erreichten Bandbreitenspitzen von über 100 Gbps.

Mehrere hunderttausend IP-Adressen mit WS Discovery-Services weltweit, z. B. von Kameras und Druckern, sind ungeschützt und können für Angriffe missbraucht werden. Um das Sicherheitsrisiko zu minimieren, empfiehlt das LSOC das WSD-Protokoll zu deaktivieren und in der Windows-Firewall zu blocken.

Es ist nicht das erste Mal, dass DDoS-Angreifer etablierte, schon lange existierende Protokolle neu für sich entdecken. Die Angreifer identifizieren permanent neue Schwachstellen und offene Services, die sich für Überlastungsangriffe missbrauchen lassen. Zuletzt zeigten Memcached- und CLDAP-Attacken, dass IT-Administratoren ständig mit neuen Angriffstechniken rechnen müssen.

*zero.bs: New DDoS Attack-Vector via WS-Discovery/SOAPoverUDP, Port 3702, 16.08.2019