Computerwurm bedroht Behörden- und Firmennetzwerke
Computerwurm bedroht Behörden- und Firmennetzwerke
CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.Beschreibung
Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.
Einschätzung
Risiko: steigendPotential: sehr hoch
Hintergrund
Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares.
Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.
Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, ...) Löcher in diesen Verteidigungsring brechen.
Auswirkungen
Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.Als Seiteneffekt der Fortplanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.
Empfehlungen
- Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.
- Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.
- Sorgen sie für nicht-triviale Passwörter.
- Achten Sie darauf, dass mobile Geräte (z.B. Laptops) oder Datenträger (z.B. USB-Sticks) nicht den Wurm in Ihr Netz tragen.
- Deaktivieren Sie Autorun für externe Datenträger.
- Erhöhtes Monitoring Ihres Netzes, etwa:
- Beobachten Sie die Namensauflösungen der Clients: der Wurm frägt bestimmte Domains ab. (Siehe Links)
- Beachten Sie Meldungen zu fehlgeschlagenen Logins
- Beobachten Sie ihrer Proxy-logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.
Informationsquelle(n):
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.A
Microsoft
http://www.microsoft.com/security/portal/Entry.aspx?name=Worm:Win32/Conficker.B
F-Secure
http://www.f-secure.com/weblog/archives/00001574.html
F-Secure
http://www.f-secure.com/weblog/archives/00001576.html
F-Secure
http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml
Internet Storm Center (SANS)
http://isc.sans.org/diary.html?storyid=5653
Computer Associates (CA)
http://www.ca.com/at/securityadvisor/virusinfo/virus.aspx?id=75911
Computer Associates (CA)
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=76852
Symantec
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=1