Conficker.B

Ende Oktober hat Microsoft eine außerplanmäßige Sicherheits-Aktualisierung veröffentlicht. Siehe dazu auch meinen Blog: Wichtige Sicherheits Aktualisierung nun verfügbar. Die dahinterliegende Schwachstelle wurde von Anfang an angegriffen. Darüber hab ich dann auch vier Tage nach der Veröffentlichung im Eintrag Neuigkeiten zur ausserplanmäßigen Sicherheitsaktualisierung MS08-67 geschrieben. Nur wenige Wochen danach musste Neuerlicher Alarm zur außerplanmäßigen Sicherheitsaktualisierung MS08-67 gegeben werden.

Dann war es fast ein Monat ruhig, um dann um den Jahreswechsel herum wieder loszugehen. Mit dem Worm:Win32/Conficker.B gibt es neuerlich einen Wurm, der diese Schwachstelle angreift.

Dieser Wurm ist technisch sehr gut gemacht. Er befällt zuerst einmal alle Computer die Monate nach der Veröffentlichung der Sicherheits-Aktualisierung MS08-67 diese noch immer nicht installiert haben. Eine Vorgehensweise, die mein Kollege Roger Halbheer gerne als “Russisches Roulette” bezeichnet.

Das teuflische an Worm:Win32/Conficker.B ist aber, dass er auf unterschiedlichste Arten versucht ein System zu befallen. Da er hier andere Arten des Angriffes benutzt, kann er mit diesen Methoden auch Computer befallen, die durch die Sicherheits-Aktualisierung vor der eigentlichen Schwachstelle geschützt sind.

• Mittels der Autostart Funktion von infizierten Datenträgern aus
• Durch einfaches sich weiterkopieren auf andere Netzwerklaufwerke
• Und zudem versucht der Wurm Benutzerpasswörter zu knacken, um sich dann in Folge im Netzwerk festzusetzen.

Jetzt wird sich mancher fragen: Sollte da nicht der Virenschutz greifen?

Die Antwort ist: Prinzipiell ja. Wie schon an anderer Stelle beschrieben haben sowohl Windows Live OneCare als auch Microsoft Forefront von Anfang an die diversen Varianten von Win32/Conficker erkannt. Sogar unser kostenloser Windows Live OneCare Safety Scanner.  Aber nicht alle Hersteller von Antiviren Software waren so schnell. So konnte sich Worm:Win32/Conficker.B auch in sicher geglaubten Netzwerken festsetzen.

Wie man an Conficker.B sieht kann man immer wieder etwas an seinen Sicherheitseinstellungen verbessern. Neben den eigentlich schon Standard Einstellungen:

• Firewall Aktivieren
• Automatische Updates aktivieren (oder ähnliche Mechanismen wie Windows Updates Server in Unternehmens Umgebungen)
• und klarerweise der Einsatz von aktueller Antivirensoftware

sollte man wenn möglich auch so Dinge beachten wie:

• Erstellen starker und sicherer Passwörter
• Autostart Funktionalität bei externen Datenträgern deaktivieren
• in besonders heiklen Umgebungen am besten überhaupt mittels Gruppenrichtlinien das Anstecken von externen Datenträgern sperren.

Was sind denn so Ihre Sicherheits Empfehlungen?