Deutsch | English

Computerwurm bedroht Behörden- und Firmennetzwerke

10. Jänner 2009

Wegen der Dringlichkeit und des Umfangs des Problems bittet CERT.at um Beachtung der folgenden Meldung.

Computerwurm bedroht Behörden- und Firmennetzwerke

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.

Beschreibung

Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.

Einschätzung

Risiko: steigend
Potential: sehr hoch

Hintergrund

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen Verteidigungsring brechen.

Auswirkungen

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.

Empfehlungen

  • Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.
  • Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.
  • Sorgen sie für nicht-triviale Passwörter.
  • Achten Sie darauf, dass mobile Geräte (z.B. Laptops) oder Datenträger (z.B. USB-Sticks) nicht den Wurm in Ihr Netz tragen.
  • Deaktivieren Sie Autorun für externe Datenträger.
  • Erhöhtes Monitoring Ihres Netzes, etwa:
    • Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt bestimmte Domains ab. (Siehe Links)
    • Beachten Sie Meldungen zu fehlgeschlagenen Logins
    • Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.

Informationsquelle(n):

Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.A
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B
F-Secure
http://www.f-secure.com/weblog/archives/00001574.html
F-Secure
http://www.f-secure.com/weblog/archives/00001576.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Internet Storm Center (SANS)
http://isc.sans.org/diary.html?storyid=5653
Computer Associates (CA)
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Computer Associates (CA)
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitsprobleme in Systemen mit aktuellen Intel-Prozessoren
21. November 2017 Beschreibung Wie ...
Kritische Sicherheitslücke in Adobe Flash Player - aktiv ausgenützt - Patches verfügbar
16. Oktober 2017 | Beschreibung Adobe ...
mehr ...
Es steht KRACK auf dem Speiseplan!
16. Oktober 2017 | Auch ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss