Не медленный интернет, а атака — хакеры используют "арифметику времени" для взлома Windows-серверов

GreyNoise Microsoft RDP Бразилия США ботнет аутентификация
Не медленный интернет, а атака — хакеры используют "арифметику времени" для взлома Windows-серверов
GreyNoise Microsoft RDP Бразилия США ботнет аутентификация

Как миллисекунды ломают аутентификацию.

image

GreyNoise зафиксировала резкий и нетипичный всплеск разведывательной активности против Microsoft Remote Desktop Web Access и RDP Web Client: одновременно работали 1971 уникальный IP-адрес, тогда как обычно компания видит лишь 3—5 таких источников в сутки.

По оценке аналитиков, синхронность и масштаб указывают на скоординированную кампанию, в которой атакующие проверяют поведение порталов аутентификации и готовят почву для последующих атак на пароли. В 1851 случае наблюдался один и тот же клиентский «отпечаток», причём около 92% этих узлов уже помечены как вредоносные. Основной трафик исходил из Бразилии и бил по адресам в США, что согласуется с гипотезой о едином ботнете или общем наборе инструментов.

Цель сканирующей волны — поиски тайминговых атак, когда микроскопическая разница во времени ответа невольно выдаёт чувствительную информацию. Если RDP-веб-портал отвечает на попытку входа с существующим именем немного быстрее, чем на запрос к несуществующему пользователю, это даёт возможность подтверждать валидность логинов без знания пароля — классический канал стороннего наблюдения по времени отклика.

По времени всплеска исследователи указывают на 21 августа — период начала учебного года в США. В эти дни школы и вузы массово поднимают RDP-сервисы для удалённых лабораторий, создают множество новых записей и временно ставят доступность выше жёстких ограничений. В таких средах часто применяются предсказуемые схемы логинов — от студенческих идентификаторов до шаблонов «имя.фамилия» — что дополнительно повышает эффективность перечисления имён. Свою роль играют и бюджетные ограничения в образовании: там, где приоритетом становится быстрое подключение тысяч пользователей, контрольная обвязка и защитные механизмы нередко внедряются с задержкой.

GreyNoise подчёркивает, что подобные пики из прошлого опыта нередко предвосхищают публичное раскрытие свежих уязвимостей. Даже если это лишь подготовка к последующим атакам на пароли, риски остаются высокими: подтверждение логина сокращает площадь подбора и повышает результативность как точечного перебора, так и метода password spraying на большой массе аккаунтов.

Администраторам Windows-инфраструктур рекомендуется немедленно исключить простые сценарии компрометации. Минимальная мера — обязательная многофакторная аутентификация для всех учётных записей, имеющих доступ к RDP-веб-порталам, и перенос этих порталов за VPN или иные рубежи удалённого доступа. Дополнительно стоит ограничить внешний доступ к RD Web Access по спискам источников, включить агрессивные лимиты на попытки входа и внимательно оценить любые различия во времени ответа, способные превратиться в утечку по побочным каналам.