Het Connection-less Lightweight Directory Access Protocol, Microsofts versie van het standaard-LDAP-protocol, is erg kwetsbaar voor ddos-aanvallen. Dat blijkt uit onderzoek van Black Lotus Labs, de onderzoeksafdeling van securitybedrijf Lumen. Specifiek gaat het om reflectieaanvallen, waarbij onbeschermde Microsoft-servers gebruikt worden om specifieke websites te overbelasten met verkeer. De cldap-servers die daarvoor worden gebruikt worden 'cldap-reflectors' genoemd. Volgens het onderzoek is het aantal reflectors het afgelopen jaar met zestig procent gestegen. Er zouden al meer dan 12.000 cldap-servers gebruikt worden voor ddos-aanvallen, schrijft Black Lotus.
De onderzoekers adviseren Windows-netwerkadministrators om de cldap-servers waar mogelijk offline te halen. Indien dat niet kan, moeten deze beter beveiligd worden. Dat kan bijvoorbeeld door ondersteuning voor UDP uit te schakelen, aangezien die service het protocol kwetsbaar maakt voor de reflectieaanvallen. Ook moet er volgens Black Lotus een techniek als reverse-path forwarding gebruikt worden om gespooft IP-verkeer te weren.
Cldap wordt niet veel door Microsoft gebruikt. Active Directory is de enige dienst waarvoor de techgigant het kwetsbare protocol benut. Dan nog wordt het slechts gebruikt voor één ping: de LDAP Ping. In de meeste Windows-versies staat het protocol standaard aan, maar pas wanneer een cldap-machine online is kan deze door kwaadwillenden misbruikt worden.
In dit cirkeldiagram wordt getoond hoelang een enkele cldap-reflector gemiddeld gebruikt wordt (bron: Black Lotus Labs)
Bron: Black Lotus Labs
