31 agosto 2011
È stato segnalato un nuovo worm Internet che si diffonde tramite il protocollo RDP (Remote Desk Protocol ) di Microsoft. Questo worm scansiona la sottorete di un host infetto alla ricerca di altri host che eseguono RDP e tenta di accedervi utilizzando un set preconfigurato di nomi utente (incluso "administrator") e password. Secondo Microsoft, questo worm può essere controllato e aggiornato in remoto, in modo che agli host infetti possa essere ordinato di eseguire attacchi denial-of-service o altre funzioni. Per questo motivo il comportamento del worm può cambiare nel tempo.
Informazioni dettagliate sul worm, incluso il rilevamento e la pulizia, sono disponibili qui http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A
Questo pericolo può essere attenuato seguendo alcune best practice di sicurezza di base. In primo luogo, assicurati di adottare una password efficace nei tuoi account utente. Tieni presente che l'unica password dell'account "Amministratore" che AWS assegna automaticamente alla tua istanza al momento del lancio è conforme a questa raccomandazione e dovrebbe essere sufficientemente sicura da rendere impossibile il tentativo di indovinare la password con attacchi di forza bruta. Se utilizzi il servizio di configurazione di EC2 Windows per annullare la password assegnata automaticamente, assicurati che la tua selezione sia complessa a livello di crittografia. È possibile trovare le linee guida di Microsoft per la creazione di password sicure qui: https://docs.microsoft.com/it-it/previous-versions/windows/it-pro/windows-server-2003/cc736605(v=ws.10)?redirectedfrom=MSDN e le istruzioni per l'utilizzo del servizio di configurazione di Windows qui: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html
In secondo luogo, assicurati di limitare l'RDP in entrata (TCP 3389) solo a quegli indirizzi IP di origine da cui dovrebbero provenire le sessioni RDP legittime. Le limitazioni di accesso possono essere applicate configurando i gruppi di sicurezza EC2 di conseguenza. Per informazioni ed esempi su come configurare e applicare correttamente i gruppi di sicurezza, fare riferimento alla seguente documentazione:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html