31. August 2011
Es wurde ein neuer Internetwurm gemeldet, der sich über das Remote Desktop Protocol (RDP) von Microsoft verbreitet. Der Wurm scannt das infizierte Subnetz eines Hosts auf weitere Hosts, die RDP ausführen, und versucht, mithilfe einer vorkonfigurierten Liste von Benutzernamen (einschließlich "administrator") und Passwörtern auf diese zuzugreifen. Laut Microsoft lässt sich dieser Wurm per Fernzugriff steuern und aktualisieren, sodass infizierte Hosts dazu angewiesen werden können, Denial-of-Service-Attacken oder andere Funktionen auszuführen. Das Verhaltensmuster des Wurms kann sich demnach mit der Zeit ändern.
Ausführliche Informationen zum Wurm, zur Erkennung und zur Beseitigung, finden Sie hier: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A
Sie können sich vor dieser Bedrohung schützen, indem Sie einige grundlegende und bewährte Sicherheitsmaßnahmen befolgen. Erstens sollten Sie sicherstellen, dass zur Anmeldung in Ihren Benutzerkonten ein sicheres Passwort angegeben werden muss. Das eindeutige Passwort für das Administratorkonto, das beim Start Ihrer Instance automatisch von AWS zugewiesen wird, erfüllt diese Voraussetzung und sollte sicher genug sein, um Brute-Force-Angriffe zum Erraten des Passworts unmöglich zu machen. Wenn Sie den EC2-Windows-Konfigurationsdienst verwenden, um dieses automatisch zugewiesene Passwort zu überschreiben, sollte das neue Passwort kryptografisch sicher sein. Eine Microsoft-Anleitung zum Erstellen sicherer Passwörter finden Sie hier: http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx. Anweisungen zur Verwendung des Windows-Konfigurationsdienstes finden Sie hier: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html.
Zweitens sollten Sie sichergehen, dass eingehende RDP-Anfragen (TCP 3389) auf Quell-IP-Adressen beschränkt werden, von denen legitime RDP-Sitzungen ausgehen sollten. Diese Zugriffsbeschränkungen können durch eine entsprechende Konfiguration Ihrer EC2-Sicherheitsgruppen eingerichtet werden. Weitere Informationen und Beispiele für die ordnungsgemäße Konfiguration und Verwendung von Sicherheitsgruppen finden Sie in der folgenden Dokumentation: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.