31 августа 2011 г.
Обнаружен новый интернет-червь, который распространяется по протоколу удаленного рабочего стола (RDP) компании Microsoft. Этот червь сканирует подсеть зараженного хоста на наличие других хостов, использующих RDP, и с помощью предварительно настроенного набора имен пользователей (в т. ч. администратора), а также паролей, пытается получить к ним доступ. Microsoft заявляет, что управлять этим червем и обновлять его можно удаленно, поэтому зараженные хосты могут быть использованы для выполнения атаки типа «отказ в обслуживании» или других действий. Из-за этого со временем поведение червя может меняться.
Подробную информацию о черве, в том числе инструкции по выявлению и удалению, можно найти здесь: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A.
Эту угрозу можно минимизировать, следуя простым рекомендациям по безопасности. Во-первых, убедитесь в надежности паролей, которые пользователи выбирают для своих аккаунтов. Обратите внимание, что уникальный пароль аккаунта администратора, который AWS автоматически присваивает вашему инстансу при запуске, является достаточно надежным, так что угадать его методом подбора невозможно. Если вы используете сервис конфигурации EC2 Windows, чтобы изменить автоматически назначенный пароль на другой, убедитесь, что его сложно расшифровать. Руководство Microsoft по созданию надежных паролей можно найти на веб-странице http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx, а инструкции по использованию сервиса конфигурации Windows доступны здесь: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html.
Во-вторых, ограничьте входящий трафик RDP (TCP 3389), предоставив его только для тех исходных IP-адресов, с которых инициализируются разрешенные сеансы RDP. Эти ограничения доступа можно применить, настроив группы безопасности EC2. Информацию, а также примеры правильной настройки и применения групп безопасности см. здесь: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.