Robak atakujący Windows Remote Desktop
Firma F-Secure ostrzega przed robakiem Morto, który rozprzestrzenia się, wykorzystując Windows Remote Desktop Server. Infekuje on głównie serwerowe wersje Windows, na których usługa RDP jest najczęściej włączona i dostępna przez internet w celu zdalnego zarządzania serwerem. Na systemach nieserwerowych usługa jest dostępna tylko w droższych wersjach produktów, a poza tym domyślnie wyłączona.
Nowo odkryty robak nie wykorzystuje żadnych luk w systemie, lecz skanuje całe zakresy adresów IP na porcie 3389, po czym próbuje się logować jako administrator z użyciem często stosowanych haseł. Po udanym logowaniu do zdalnego komputera, Morto tworzy napęd A:, który może być udostępniony jako udział w sieci lokalnej. Zapisuje na nim plik DLL, który rozpoczyna infekcję w sieci lokalnej, a także inne pliki w katalogach systemowych. Na kolejno infekowanych komputerach robak powtarza wszystkie czynności i jest gotowy do dalszego rozprzestrzeniania się. Dodatkowo Morto jest przystosowany do pracy jako botnet, zawiera nazwy domen (jaifr.com, qfsl.net) z których może pobierać nowe komendy i komponenty. Szczegółowa analiza Morto znajduje się m.in. na stronie Microsoftu.
Oczywiście w tym przypadku podstawowym rozwiązaniem jest ustawienie takiego hasła administratora, którego nie da się łatwo odgadnąć.
Wg ostatnich badać przeważająca liczba ataków ransmoware spowodowana jest przez… Zdalny Pulpit.
Co to oznacza w praktyce? Administratorzy IT uruchamiają tzw. RDP na serwerze, by mieć dostęp z zewnątrz do maszyny. Wystawiają zatem „na świat” usługę, która znana jest z podatności. Duży błąd.
Już nie będę się w tym momencie pastwił na administratorach, którzy wyłączają „tymczasowo” firewall, by sprawdzić połączenie z RDP, a później o nim zapominają.
By była jasność, RDP to nie zło. Konieczne jest jednak odpowiednie zabezpieczenie. Jeżeli już musisz mieć dostęp do RDP z zewnątrz to rób to za pomocą bezpiecznego VPNa.