31 de agosto de 2011

Foi reportado um novo worm da internet que se espalha pelo Remote Desk Protocol (RDP) da Microsoft. Esse worm verifica a sub-rede de um host infectado em busca de outros hosts que executam o RDP e tenta acessá-los usando um conjunto pré-configurado de nomes de usuários (inclusive administradores) e senhas. De acordo com a Microsoft, esse worm pode ser controlado e atualizado remotamente, de modo que hosts infectados possam ser comandados a realizar ataques de negação de serviço e outras funções. Por isso, o comportamento do worm pode mudar ao longo do tempo.

Encontre informações detalhadas sobre o worm, inclusive sobre detecção e limpeza, aqui: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A

Essa ameaça pode ser mitigada com as seguintes práticas recomendadas e básicas de segurança. Primeiro, verifique se você está aplicando a opção de senha forte nas suas contas de usuários. Observe que a senha exclusiva da conta de “Administrador” que a AWS atribui automaticamente à sua instância na inicialização está em conformidade com essa recomendação e deve ser forte o bastante para que seja inviável adivinhá-la. Se você usa o serviço de configuração do Windows EC2 para substituir automaticamente essa senha atribuída, confira se sua seleção tem criptografia forte. Consulte a orientação da Microsoft sobre como criar senhas fortes aqui: http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx e instruções sobre como usar o serviço de configuração do Windows aqui: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html

Em segundo lugar, verifique se você está restringindo o RDP de entrada (TCP 3389) para somente endereços IP de origem a partir dos quais devem originar as sessões legítimas de RDP. Para aplicar essas restrições de acesso, configure os grupos de segurança do EC2 corretamente. Para obter informações e exemplos de como configurar e aplicar corretamente os grupos de segurança, consulte a seguinte documentação: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.