Montag, 8. August 2011

Security Alert: Morto Wurm verbreitet sich vià Remote Desktop

Viele nutzen aus "Bequemlichkeit" einfach ein Portforwarding für das RemoteDesktop! Ich dachte mir schon, wie lange wird das dauern, bis ein Wurm programmiert wird, der dies auch noch ausnutzen möchte.

Gemäss Meldung der F-Secure fand ich Informationen über den Morto Worm (F-Secure Morto Worm) . Detaillierte Informationen findet Ihr auf den Link. Er testet eine Reihe von Passwörtern aus, die sicherlich noch gerne benutzt werden.

Diskussion über den Wurm auf dem Technet Ton of outgoing TCP 3389 from svchost.exe .

Abhilfe für die faulen unter den Admins (Workaround "provisorisch" damit meine ich ist die Frage, wie lange ist man noch geschützt, bis ein Wurm Reihenweise einen Rechner nach Ports durchscannt).

Wir legen den RDP Port auf einen anderen Port. Somit ist "temporär" Abhilfe geschaffen worden.

Dazu öffnen wir die Registry > Regedit.exe (start > ausführen) und modifizieren den folgenden Wert auf einen von uns gewählten Port. Bitte einen anderen nehmen als den Port, den ich hier gewählt habe. Man weiss ja nie, ob irgendwelche Idioten mein Tipp lesen und dann einen Scan auf diesen Port festlegen!!

Dazu navigieren wir in folgendem Wert: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP



klicken zweimal mit der Maus auf den Wert 

PortNumber und geben zb. 63389 ein


Jetzt fragt man sich, gibts das nicht noch auf eine einfachere Art und Weise? Of course! :) Dazu geht Ihr auf die Website von Microsoft und lädt Euch das Fix IT Tool herunter, welches für Euch die Aufgabe übernimmt. Natürlich müsst Ihr dann noch einen Port angeben.

Microsoft KB306759 Tool ausführen und bei PortNumber zb. 63389 eingeben!

Sobald Ihr den Port gewechselt habt, bitte die Kiste neu starten. :) 

Danach öffnen wir RemoteDesktop und verbinden uns wie folgt auf dem Server: 


Kurz erklärt: PC Namen angeben gefolgt von einem Doppelpunkt und danach den von Euch definierten Port angeben wie oben im Screenshot.

Nun könnt Ihr diese RemoteDesktop Verbindung mit klick auf Optionen mit "Speichern Unter" zb. auf den Desktop abspeichern. So muss man nich jedesmal die ganze Adresse eingeben!

Sinnvoller wäre es, wenigstens auf einem Windows System ein PPTP VPN einzurichten mit einem komplizierten Kennwort und danach erst RDP zulassen. Wenn Bequemlichkeit, dann schon ein bisschen mit Eleganz. :) PPTP ist ein einfaches VPN Protokoll, welches sehr einfach in der Konfiguration ist.

Dazu ein paar Links:



Keine Kommentare: