31 août 2011
Un nouveau ver Internet a été signalé qui se propage via Microsoft Remote Desktop Protocol (RDP). Ce ver analyse le sous-réseau d'un hôte infecté pour rechercher d'autres hôtes exécutant RDP et tente d'y accéder à l'aide d'un ensemble préconfiguré de noms d'utilisateur (y compris « administrateur ») et de mots de passe. Selon Microsoft, ce ver peut être contrôlé et mis à jour à distance, de sorte que les hôtes infectés peuvent être invités à exécuter des attaques par déni de service ou d'autres fonctions. Pour cette raison, le comportement du ver peut changer avec le temps.
Des informations détaillées sur le ver, y compris la détection et le nettoyage, sont disponibles sur http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A.
Cette menace peut être atténuée en suivant certaines des meilleures pratiques de sécurité de base. Tout d'abord, veillez à utiliser des mots de passe complexes sur vos comptes d'utilisateurs. Notez que le mot de passe unique du compte « Administrateur » qu'AWS attribue automatiquement à votre instance lors du lancement est conforme à cette recommandation et devrait être suffisamment complexe pour rendre impossible la découverte du mot de passe par force brute. Si vous utilisez le service de configuration Windows EC2 pour remplacer ce mot de passe attribué automatiquement, veillez à ce que vous sélection soit cryptographiquement complexe. Des conseils de Microsoft sur la création de mots de passe complexes sont disponibles sur http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx. Les instructions d'utilisation du service Windows sont disponibles sur http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html.
Veillez également à limiter le RDP entrant (TCP 3389) aux seules adresses IP source depuis lesquelles les sessions RDP légitimes doivent provenir. Vous pouvez appliquer ces restrictions d'accès en configurant vos groupes de sécurité EC2 en conséquence. Pour en savoir plus et obtenir des exemples sur la marche à suivre pour configurer et appliquer des groupes de sécurité de manière appropriée, reportez-vous à la documentation suivante : http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html.