I forrige uke advarte Microsoft i sin månedlige sikkerhetsoppdatering, at det var oppdaget flere kritiske sårbarheter i forskjellige utgaver av Windows. Siden helgen er det kommet en serie med nye ormer som utnytter spesielt en av disse sårbarhetene, et hull i «plug and play»-håndteringen i Windows 2000 og Windows Server 2003.
Les også:
- [31.08.2005] Knytter Zotob-orm til svindel med kredittkort
- [27.08.2005] Zotob-mistenkte arrestert
- [18.08.2005] Kritisk sårbarhet i Internet Explorer
- [18.08.2005] Norman løste Zotob-problemet
- [10.08.2005] Påkrevd storoppgradering av nettleser
Det er spesielt to ormefamilier som utnytter denne sårbarheten, døpt henholdsvis Zotob og IRCBot. I natt advarte Symantec at Zotob var kommet i en sjette variant, døpt Zotob.F.
Det spesielle med disse ormene er at offeret ikke behøver å gjøre noe spesielt – utenom å la være å installere fiksen som inngår i Microsofts automatiske oppdateringstjeneste – for å smittes. Ormene forsøker å kople seg til vilkårlig valgte IP-adresser via port 455, og installerer forskjellige typer ondsinnet kode.
Symptomer på smitte er blant annet at maskinene slår seg av og på.
Ifølge sikkerhetsselskapene er det ikke den vanlige målgruppen – individuelle ubeskyttede PC-er – som rammes, men snarere PC-er i organisasjoner der man av forskjellige grunner har nølt med å installere oppgraderingen, og samtidig har unnlatt å justere brannmuren.
I USA opplevde flere medieselskaper, blant dem CNN, New York Times og ABC, at flere maskiner ble satt ut av spill. Kreativ bruk av alternative metoder – ABC trakk fram gamle elektriske skrivemaskiner – og rask gjenoppretting og rensing av de rammede maskinene, gjorde at problemene ble begrenset til rundt halvannen time og ikke fikk følger for produksjonen.
Norske sikkerhetsselskaper melder at de ikke har registrert at kunder er rammet.
– Kunder som følger våre oppdateringer har vært beskyttet siden 12. august, da vi la ut signaturer for disse sårbarhetene, forklarer Henrik Amundsen Vaage i Symantec Norge til digi.no. – Ved å knytte signaturer til selve sårbarheten, og ikke til de ulike ormene, spiller det ingen rolle om stadig nye typer ondsinnet kode prøver seg på det samme sikkerhetshullet.
Supportsjef Eirik Amundsen i Norman sier at heller ikke han har registrert kunder som er rammet av disse angrepene.
– Svært mange norske bedrifter kjører Windows 2000. Det kan være flere forklaringer på at ingen har merket noe ennå. En kan være at det gjerne tar tid før slike bølger når oss. Høyere sikkerhetsnivå i Norge kan være en forklaring, men den tror jeg ikke er spesielt sannsynlig.
Normans Sandbox-teknologi har et problem med de nye ormene, ifølge Amundsen.
– Ormene skiller seg fra hverandre med den måten de er «pakket inn» på. Det vil si at de ankommer offeret med en spesiell komprimering og kryptering. Vi må knekke hver type pakke og oppdatere Sandbox. Det finnes mange hundre slike pakker, og Sandbox oppdateres kontinuerlig.