Nieuws
image

Conficker worm infecteert Nederlandse overheid - update

vrijdag 16 januari 2009, 12:51 door Redactie, 21 reacties

Tientallen Nederlandse bedrijven en zelfs een overheidsinstelling zijn door de Conficker (Downadup) worm besmet geraakt, zo laat de Russische virusbestrijder Kaspersky Lab tegenover Security.nl weten. De worm sloeg eerder toe bij de Bulgaarse en Oostenrijkse overheid en infecteerde drieduizend ziekenhuiscomputers. In het geval van Nederland gaat het om bedrijven met zo'n 200 a 300 werknemers. Welke overheidsinstelling is getroffen wil de virusbestrijder niet zeggen, maar het geeft wel de omvang van het probleem aan.

Ella Broos, woordvoerster van GOVCERT, laat weten dat het geen meldingen van deelnemers over eventuele besmettingen heeft ontvangen. Deelnemers zijn overheidsinstanties die GOVCERT adviseert. De worm is echter wel actief binnen onze landsgrenzen. Volgens Broos zijn er al zeker vierhonderd IP-adressen waargenomen waarachter zich één of meerdere besmette systemen bevinden. Toen de update van Microsoft uitkwam heeft GOVCERT hiervoor gewaarschuwd, daarnaast publiceerde het deze factsheet waarin het de kwetsbaarheid uitlegt.

Lam netwerk
De conficker worm, ook bekend als Downadup, verspreidt zich op verschillende manieren, zoals USB-sticks, gedeelde netwerk mappen het in oktober gepatchte beveiligingslek in Windows. Het niet installeren van deze update is de voornaamste reden van de infectie, zegt Kaspersky evangelist Eddy Willems. Bij getroffen bedrijven zat men "echt met de gebakken peren omdat het netwerk lam lag", aldus de Belg.

Er zijn inmiddels talloze varianten in omloop, wat de bedoeling precies is, is nog onduidelijk. De worm blokkeert in ieder geval de toegang tot de websites van anti-virusbedrijven en het forum van Wilderssecurity. Daarnaast schakelt de worm de Systeemherstel functie uit. Eerdere varianten hadden het voornamelijk op de inloggegevens van online spellen gezien, wat de nieuwe varianten doen is nog onduidelijk. Eerder lieten onderzoekers van het Finse F-Secure weten dat er mogelijk een gigantish nieuw botnet wordt gemaakt, iets wat ook Willems niet onmogelijk acht. Het totale aantal infecties bedraagt wereldwijd inmiddels meer dan 3,5 miljoen machines, voornamelijk in opkomende landen.

Microsoft tool
Dinsdag bracht Microsoft een nieuwe versie van haar gratis Malicious Software Removal Tool uit om malware mee te verwijderen, toch verwacht Willems hier niet veel van. "Begrijp me niet verkeerd, het is een uitstekende tool, maar wie gebruikt hem?". Daar komt bij dat men de tool voornamelijk via Windows Update binnenkrijgt en dat is nu net datgene wat besmette gebruikers niet doen, het updaten van hun Windows Systeem. Vandaag werd bekend dat dertig procent van de Windows computers niet de update heeft geïnstalleerd waardoor de worm systemen weet over te nemen.

Metasploit
De manier waarop de nieuwe varianten het lek in de Windows Server Service misbruiken is afkomstig van de populaire hackertool Metasploit, zo ontdekten onderzoekers van McAfee. Aangezien er gigantisch veel Windows XP systemen zijn is het logisch dat de auteurs van de worm Metasploit voor eigen gewin gebruiken, aangezien dit hun eigen werk een stuk eenvoudiger maakt. Wat betreft de toekomst denkt Willems dat we vaker dit soort aanvallen kunnen zien. Het zou dan om pure zero-day aanvallen gaan.

Update 22:10
In tegenstelling tot eerdere berichtgeving heeft GOVCERT wel activiteit in Nederland waargenomen, alleen niet bij de overheidsinstanties die als deelnemer actief zijn.

Reacties (21)
16-01-2009, 13:18 door Anoniem
Tijd dat onze overheid van windows afstapt en eens wat goeds en betrouwbaars gaat gebruiken.
16-01-2009, 13:35 door Anoniem
& van harte aan de politici die denken aan 'n "strikter" EPD beleid te kunnen werken met dit soort "professionals" aan de knopjes..
Natuurlijk, dat niet alleen, maargoed.. Dat snappen de meeste (hier) ook wel..
16-01-2009, 17:38 door Paultje
De Nederlandse overheid en ICT-beveiliging:

[...] Geschikt
[X] Ongeschikt
16-01-2009, 18:28 door [Account Verwijderd]
[Verwijderd]
16-01-2009, 18:55 door spatieman
dat zijn dan de zelfde overheid jongens die over ons gaan zeiken dat we onveilig bezig zijn..
17-01-2009, 10:15 door Anoniem
Door AnoniemTijd dat onze overheid van windows afstapt en eens wat goeds en betrouwbaars gaat gebruiken.

Haha, met dezelfde nitwits aan het stuur en met Linux zijn ze na al een week in handen van de russische malware maffia.

Serieus: de meeste admins in grote bedrijven zijn halfgare overbetaalde poedels die meer met hun vrije tijd bezig zijn dan met hun werk. Die patch is 2 maanden oud. En kom niet af met : ik moet mijn patch testen. Dit is ook al een urban legend.
17-01-2009, 14:10 door Anoniem
Door Anoniem
Serieus: de meeste admins in grote bedrijven zijn halfgare overbetaalde poedels die meer met hun vrije tijd bezig zijn dan met hun werk. Die patch is 2 maanden oud. En kom niet af met : ik moet mijn patch testen. Dit is ook al een urban legend.

Patches wil je in sommige gevallen wel testen. Maar patches zoals deze test je binnen een week. Wij rollen een dergelijke patch uit op testservers op donderdag. De systemen die er gevoelig voor zijn op vrijdag en de systemen die extra beschermd zijn, en dus niet bereikbaar zijn, op maandag.

Dan hebben de testsystemen een aantal dagen extra gedraaid. En Microsoft kan met een gewijzigde patch komen. Dat gebeurt niet vaak, maar toch te vaak om er op te vertrouwen dat de eerste versie correct is. Vooral bij systemen waar het leven van je organisatie van afhankelijk is.

Oja, over die vrije tijd. Ik weet hoe een aantal van mijn teamleden over vrije tijd denken: "Hoe leg ik het mijn vrouw uit dat ik deze maand weer een paar dagen 's morgens vroeg moet beginnen om de systemen in orde te maken."

Peter
17-01-2009, 18:10 door Lamaar
"Toen de update van Microsoft uitkwam heeft GOVCERT hiervoor gewaarschuwd" Tegen die update? Redactie, lees je eigen tekst nou nog eens. Of is dit weer bedoeld als een zielige poging van MS bashen?
17-01-2009, 18:12 door Lamaar
Door AnoniemTijd dat onze overheid van windows afstapt en eens wat goeds en betrouwbaars gaat gebruiken.
Hoera! We kunnen weer Windows bashen!
17-01-2009, 19:34 door Anoniem
Hadden ze maar moeten overstappen naar windows vista!
17-01-2009, 22:01 door Paultje
In tegenstelling tot eerdere berichtgeving heeft GOVCERT wel activiteit in Nederland waargenomen, alleen niet bij de overheidsinstanties die als deelnemer actief zijn.

Ja, dat is nogal wiedes zeg. Iedereen die iets aan beveiliging wil doen zit bij GOVERT. Wie niet aan beveiliging doet - en dus makkelijk geïnfecteerd raakt - zit niet bij GOVERT aangesloten.
18-01-2009, 05:54 door Anoniem
eigenschuld blijkbaar gebruikte ze nu nog steeds windows voor belangrijke zaken. werkelijk absurd ze leren t ook nooit. of nu wel?
hoevaak moeten ze het lesje nog leren voor ze linux nemen?
18-01-2009, 12:30 door Anoniem
Iedereen die Microsoft ligt te bashen heeft precies nog niet te maken gehad met deze worm en de echte oorzaak hiervan. Lakse admins ... Linux is inderdaad veiliger out of the box, maar als je daar geen updates installeerd en iedereen beheersrechten geeft heb je ook wel snel problemen.
Als zij de update hadden geïnstalleerd toen het moest had dit probleem gewoon nooit voorgekomen. En nu kan je mischien zeggen dat sommige systemen in ziekenhuizen niet zomaar kunnen uitgeschakeld worden, maar als er een degelijk beheer was hadden ze zowiezo al een backup-systeem dat ze op dat moment konden inschakelen terwijl de master wordt herstart. Ik ben eigenlijk wel benieuwd welke ziekenhuizen dat hebben of daaraan gedacht hebben voor dit voorkwam.

Dat is in feite nog het meest frustrerende aan deze worm vind ik. Nu dat berichtgeving hiervoor ook in de mainstream media gebeurd hoor je die eikels verkondigen dat ze niet weten hoe hun netwerk geïnfecteerd is geweest...
Terwijl ze heel goed weten dat het komt dat ze ms08-067 pas geïnstalleerd hebben toen ze merkten dat er toch wel heel veel open connecties op port 445 waren. Wat een nare ontdekking dan dat die patch alleen maar preventief werkte.
Op zich is het al verwonderlijk dat ze pas nu geïnfecteerd zijn vind ik, want die patch zal natuurlijk niet de enige zijn die ze gemist hebben.
18-01-2009, 17:56 door Anoniem
of overstappen naar Kaspersky :-)
19-01-2009, 10:52 door Anoniem
Kunnen de Europese overheden niet gaan deelnemen aan het Open Source SNORT project, bedoeld om het indringen van netwerken te detecteren? Vanuit een goede, onafhankelijk detectie is het wellicht ook mogelijk om bijna-monopolies zoals Microsoft beter te beboeten voor het leveren van dik betaalde, onveilige, gesloten en niet-standaarden respecterende programmatuur, in plaats van je alleen maar afhankelijk te maken van hun updates.
19-01-2009, 12:29 door Anoniem
Door Anoniemeigenschuld blijkbaar gebruikte ze nu nog steeds windows voor belangrijke zaken. werkelijk absurd ze leren t ook nooit. of nu wel?
hoevaak moeten ze het lesje nog leren voor ze linux nemen?

Dat geeft de burger weer moed, eindelijk iemand die het volledig begrijpt.
20-01-2009, 08:36 door Anoniem
Door PaultjeDe Nederlandse overheid en ICT-beveiliging:

[...] Geschikt
[X] Ongeschikt

Hahah, deze is goed ;)
25-02-2009, 14:13 door Anoniem
of gewoon blaten alsof je er verstand van hebt.... en dan jaren later wakker worden en ondervinden dat alleen norton 360 deze plaag tegenhoud en verwijderd... ; - )
23-03-2009, 00:22 door Anoniem
1 april?!
31-03-2009, 19:25 door Anoniem
Door AnoniemHadden ze maar moeten overstappen naar windows vista!

Kan het vista niet treffen!?
Ik ben nogal ongerust over mn pc, ik zou niet wille dat ik wéér een nieuwe moet kope! =S

(bange groetjes)
01-04-2009, 16:05 door Anoniem
Door AnoniemHadden ze maar moeten overstappen naar windows vista!
Precies! Dan lag het meteen lam.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure