Betyr Morto orm bevise iboende svakheter i Windows RDP sikkerhet?

Spør eksperten!
Har du spørsmål om bedriften informasjon sikkerhetstrusler for ekspert Nick Lewis? Sende dem via e-post i dag! (Alle spørsmål er anonyme.)

Morto orm, oppdaget i august, var en ny måte å angripe usikkert konfigurerte Windows-systemer. I hovedsak en utviklet Windows nettverk orm, det spre seg fra en infisert systemet med Windows Remote Desktop Protocol (RDP), et element av Windows Remote Desktop Connection tjeneste som gjør at en Windows-PC eller server som skal fjernstyres. Men den ormen ikke utnytte sårbarheter i RDP måten tidligere Windows nettverksormer gjorde.

Den raske utbredelsen av Morto ormen var et resultat av RDP blir tillatt gjennom mange brannmurer. De generiske brannmurer ikke kunne blokkere dette angrepet uten å blokkere RDP, men brannmurer eller IPSes med anvendelse deteksjon kan bli brukt til å blokkere applikasjonslag angrep. Den Morto ormen var et program-lag angrep, å utnytte en felles konfigurasjonsfeil: et svakt passord. Det ville forsøke en brute-force pålogging som administrator på offerets maskin, ved hjelp av en rekke vanlige passord. De fleste systemer bør være konfigurert til å håndheve sterke passord, men Morto var fortsatt i stand til å spre seg ganske vellykket.

Morto ormen var bare en infeksjon mekanisme for å laste malware på systemet. Såvidt malware går, synes det ikke å være veldig skadelig, men Morto kunne ha lastet Zeus eller en rekke ulike malware eller bot programmer på sine offerets maskiner til å tjene på sin rask utbredelse. Det er en viktig lærdom for sikkerhets utøvere, som bred bruk av sterke passord ville trolig stoppet Morto ormen i sitt spor.

Det er ironisk at Windows-systemer konfigurert med en av de minst sikrere alternativer, en blank administrativt passord , ville ha blitt beskyttet mot denne ormen siden brukere med tomme passord er ikke tillatt å koble til via Remote Desktop Protocol. Jeg ville ikke bli overrasket om den Morto ormen baner vei for et framtidig Windows ormen å angripe et program eller en protokoll avslørt av nettverket eller flere vertsbaserte brannmurer, som Witty ormen gjorde for BlackIce. Det er svakheter i eldre versjoner av RDP (.pdf) og remote desktop klient, men Microsoft har forbedret sikkerheten i protokollen og klientprogrammet i de nyeste versjonene, spesielt med sterk kryptering for nettverkstilkoblinger. Anmeldelser



Previous:
Next Page: