TigerTeam - suomalainen tietoturvablogi

Moni suomalaisorganisaatio on joutunut lomakauden aikana verkkomadon tartunnan kohteeksi.

Organisaatioihin hyökännyt mato hyödyntää jo lokakuun lopulla paikattua vakavaa työasemiin ja palvelimiin kohdistuvaa Windowsin Server-palvelun haavoittuvuutta MS08-067. Haavoittuvuus paikattiin kuukausittaisen aikataulun ulkopuolella, mikä on hyvin harvinaista. Itse haavoittuvuuden olemassaolosta saatiin tietoja, kun sitä oli käytetty viikkojen ajan Gimmiv-troijalaisen avulla ns. kohdistetuissa hyökkäyksissä.

Virustorjuntatoimijat ovat antaneet verkkomadolle Downadup- ja Conficker-tyyppisiä nimiä. Madosta on julkaistu kuitenkin useita eri variantteja eikä virustorjuntasuoja ole tällä hetkellä kattava.

Haittaohjelma voi aiheuttaa lisää vahinkoa, mikäli verkkolevyjakojen ylläpitäjän salasana on määritelty heikoksi ja mato pystyy luomaan yhteyden verkkolevyihin. Verkkolevyille kytkeytyessään mato kokeilee helppoja salasanoja kuten 12345, abc123, monitor, testtest jne. Lisäksi se mm. estää yhteydet useiden virustorjunta-, palomuuri- ja spyware-valmistajien palvelimille.

Yli kaksi kuukautta päivittämättömänä olleet työasemat ja palvelimet muodostavat merkittävän riskin organisaation tietoturvalle. Matoepidemian kohdatessa organisaatiota ylläpitoa työllistävät myös saastuneiden työasemien analysointi ja puhdistaminen sekä mm. madon salasana-arvailun myötä lukittuneiden käyttäjätilien avaaminen.

Mikään virustorjuntaratkaisu ei tuo sataprosenttista suojaa. Ylläpitäjien kannattaa lisäksi estää pääsy organisaatiosta madon käyttämiin osoitteisiin.