Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

Neuer DDoS-Amplification-Vektor WS Discovery Protokoll

29.10.2019        Security-Blog
Neuer DDoS-Amplification-Vektor WS Discovery Protokoll
Shutterstock ID 1068375200

Im 1. Halbjahr 2019 konnte ein neuer Angriffsvektor identifiziert werden. Angreifer missbrauchen seit Mitte des Jahres das Web Services Discovery (WS-Discovery, WS-DD oder WSD) Protokoll.* Dabei handelt es sich um ein Multicast-Discovery-Protokoll, um LAN-Dienste zu lokalisieren. Die Kommunikation erfolgt mittels SOAP via UDP auf dem Quell-Port 3702. Der Standard wurde 2005 veröffentlicht. 

Mit Stand vom Oktober 2019 scheint der neue Vektor schon fest zum Handwerkszeug von DDoS-Kriminellen und Booter-Diensten zu gehören. Bei den aggressiven und hochvolumigen DDoS-Attacken im Namen von Fancy Bear wurde wiederholt WS Discovery als Reflection-Vektor registriert.

Die Verstärkungsmethode hat das Potenzial große Schäden anzurichten. Der Amplification-Faktor kann Spitzenwerte bis zum 100-Fachen der ursprünglichen Attacke erreichen. Zum Vergleich: DNS verfügt über einen Amplification-Faktor von 28 bis 54, CLDAP von 56 bis 70. Die bislang registrierten Attacken unter Einsatz von WSD erreichten Bandbreitenspitzen von über 100 Gbps.

Mehrere hunderttausend IP-Adressen mit WS Discovery-Services weltweit, z. B. von Kameras und Druckern, sind ungeschützt und können für Angriffe missbraucht werden. Um das Sicherheitsrisiko zu minimieren, empfiehlt das LSOC das WSD-Protokoll zu deaktivieren und in der Windows-Firewall zu blocken.

Es ist nicht das erste Mal, dass DDoS-Angreifer etablierte, schon lange existierende Protokolle neu für sich entdecken. Die Angreifer identifizieren permanent neue Schwachstellen und offene Services, die sich für Überlastungsangriffe missbrauchen lassen. Zuletzt zeigten Memcached- und CLDAP-Attacken, dass IT-Administratoren ständig mit neuen Angriffstechniken rechnen müssen.

*zero.bs: New DDoS Attack-Vector via WS-Discovery/SOAPoverUDP, Port 3702, 16.08.2019

Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter