31 สิงหาคม 2011
มีการรายงานถึงเวิร์มอินเทอร์เน็ตแบบใหม่ที่แพร่กระจายผ่าน Remote Desk Protocol (RDP) ของ Microsoft เวิร์มนี้จะสแกนซับเน็ตของโฮสต์ที่ติดเวิร์มเพื่อหาโฮสต์อื่นๆ ที่ใช้ RDP และพยายามเข้าถึงโดยใช้ชื่อผู้ใช้ที่กำหนดค่าไว้ล่วงหน้า (รวมถึง "ผู้ดูแลระบบ") และรหัสผ่าน ตามที่ Microsoft ระบุ เวิร์มนี้สามารถควบคุมและอัปเดตได้จากระยะไกลได้ ซึ่งโฮสต์ที่ติดเวิร์มดังกล่าวอาจถูกสั่งให้ทำการโจมตีแบบปฏิเสธการให้บริการหรือฟังก์ชั่นอื่นๆ ด้วยเหตุนี้ พฤติกรรมของเวิร์มจึงอาจเปลี่ยนแปลงได้ในอนาคต
รายละเอียดเกี่ยวกับเวิร์ม รวมถึงการตรวจจับและทำความสะอาดสามารถดูได้ที่นี่: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm:Win32/Morto.A
ภัยคุกคามนี้จะลดลงได้เมื่อทำตามแนวทางการปฏิบัติที่ดีที่สุดด้านความปลอดภัยเบื้องต้นบางอย่าง ขั้นแรก ตรวจสอบให้แน่ใจว่าคุณได้บังคับให้มีการใช้รหัสผ่านที่คาดเดายากในบัญชีผู้ใช้ของคุณ โปรดทราบว่า รหัสผ่านบัญชี 'ผู้ดูแลระบบ' ที่ไม่ซ้ำกัน AWS จะกำหนดให้กับอินสแตนซ์ของคุณโดยอัตโนมัติเมื่อมีการเปิดใช้ตามคำแนะนำนี้ และควรมีความหนาแน่นมากพอที่จะทำให้การโจมตีรหัสผ่านแบบ brute force ไม่สามารถคาดเดาได้ หากคุณใช้บริการกำหนดค่า EC2 Windows เพื่อแทนที่รหัสผ่านที่กำหนดโดยอัตโนมัตินี้ โปรดตรวจสอบให้แน่ใจว่าตัวเลือกของคุณมีระบบการเข้ารหัสลับที่คาดเดาได้ยาก คำแนะนำเกี่ยวกับการสร้างรหัสผ่านที่คาดเดายากของ Microsoft สามารถดูได้ที่นี่: http://technet.microsoft.com/en-us/library/cc736605%28WS.10%29.aspx และ คำแนะนำเกี่ยวกับการใช้บริการกำหนดค่าของ Windows สามารถดูได้ที่นี่: http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?appendix-windows-config.html
ขั้นที่สอง ตรวจสอบให้แน่ใจว่าคุณได้จำกัด RDP ขาเข้า (TCP 3389) เฉพาะกับที่อยู่ IP ต้นทางเหล่านั้น ซึ่งเป็นต้นทางของเซสชัน RDP ที่ถูกต้อง การจำกัดการเข้าถึงเหล่านี้สามารถนำไปใช้ได้โดยการกำหนดค่า EC2 Security Group ให้สอดคล้องกัน สำหรับข้อมูลและตัวอย่างเกี่ยวกับวิธีกำหนดค่าอย่างถูกต้องและนำ Security Groups ไปใช้ โปรดดูเอกสารต่อไปนี้:http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/index.html?adding-security-group-rules.html