Alarmfase internet verhoogd door wormaanval
Beveiligingsgigant Symantec heeft de alarmfase voor het internet verhoogd vanwege een nieuwe worm die Windows 2000 systemen infecteert. De malware verspreidt zich via het Windows Server Service lek, waar sinds 23 oktober een update voor is, toch zijn er nog altijd ongepatchte systemen te vinden. Via de kwetsbaarheid kan een aanvaller zonder enige interactie van de gebruiker zijn of haar systeem overnemen. Vanwege de aard van het lek was het lastig voor exploit ontwikkelaars om een generieke exploit te ontwikkelen.
Downadup
De meeste wormen die zich via deze kwetsbaarheid verspreidden, deden dit in eerste instantie alleen via Chinese Windows versies. De afgelopen 24 uur heeft de beveiliger een nieuwe worm ontdekt die alle Windows 2000 systemen kan aanvallen waar de patch niet is geïnstalleerd. "Downadup" gebruikt een routine van het Metasploit Framework, de bekende hackertoolkit. De worm weet de systemen via TCP poort 445 te infecteren. Zodra het systeem is overgenomen, creëert Downadup een HTTP server met een willekeurige poort, die het in UPnP routers openzet. De URL van de server wordt naar andere computers gestuurd, die op hun beurt de worm van de gecompromitteerde machine downloaden.
Patchen
Zowel Symantec als het Internet Storm Center zien een toegenomen activiteit op poort 445, wat deels met de verspreiding van de worm te maken heeft. Om klanten en consumenten voor de worm te waarschuwen, verhoogde Symantec haar ThreatCon, een graadmeter voor het gevaar op internet, van "normaal" naar "verhoogd". Het belangrijkste wat beheerders moeten doen is het updaten van het systeem, daarnaast is het ook verstandig om poort 139 en 445 te blokkeren en een firewall te gebruiken.
Eerst alleen Chinezen, dan windoze 2000, maar wel icm met een UPnP router.
Zou die combi nog bestaan in NL ?
De computer gebruiker moet eerst even een kwaadwebsite website bezoeken zodat Javascript een kwaadaardigen code kan uitvoeren op u systeem! De vraag is of firefox 2 deze zal tegen houden in de temp map die toegang geven tot aanval van 139 en 445 .
Daarom ook intern alle machines van een firewall voorzien!!!
Dat wordt vaak niet gedaan met als excuus "het netwerk heeft toch al een firewall?" met als aanvulling "dan werken een heleboel applicaties niet meer!"
Symantec maakt bij hun virus alerts gebruik van 5 levels en alleen omdat nu level 2 aangetikt wordt is het nieuws? Ik denk dat het (gezien alle voorwaarden waar aan moet worden voldaan) nog wel mee zal vallen met deze 'verhoogde alarmfase'. Het lijkt wel of ze blij zijn dat er nog iets is wat zich kan verspreiden aan de dag van vandaag. Goed, helemaal veilig is het internet natuurlijk nog lang niet maar waar is de tijd gebleven dat er de hele tijd level 3 of soms zelfs level 4 bedreigingen waren?
Ik vind de titel nogal misleidend van het artikel, want het lijkt of er heel wat aan de hand is maar als je gaat lezen kom je er vanzelf achter dat de verhoging van 'very low' naar 'low' is gezet en dat er relatief gezien eigenlijk niets aan de hand is.
Door de worm ook via e-mail te laten verspreiden, kan de worm zich ook op interne netwerken verspreiden, wat de reikwijdte van de worm enorm kan vergroten.
Het vergt een kleine aanpassing in de worm zelf, maar de verspreiding kan er mee flink vergroot worden.
Het zou mij dus niets verbazen als er binnenkort een variant van verschijnt die zich ook via e-mail verspreid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
