Conficker: Lições pós guerra: Morris has not left the building

Passada a primeira onda do Conficker, muitas empresas de diversos portes começam a contabilizar mais do que as perdas: Quais as lições aprendidas com os ultimos eventos?


Após a febre do Zotob, indiquei algumas medidas de contorno, controle e aprendizado para ações proativas, listadas no artigo ”Lições do Front: Zotob, Defesa Inteligente e Gerenciamento de Patches” . Resolvi consultar anotações ainda mais antigas e achei transparências (para os mais novos, nesse tempo não existia o powerpoint)  e voltei ao tempo do morris Worm. O que aprendemos desde o Zotob (2005/2006) e do Morris Worm (1988)?


Consolidei algumas medidas importantes que aprendemos ou deveríamos ter aprendido nos ultimos 20 anos?


Gestão de Atualizacoes


É importante observar que o vetor de entrada esta ligado a exploracao de uma vulnerabilidade para a qual já existia atualizacao desde outubro. Mais do que haver uma atualizacao, é importante ter controle sobre quais estacoes e servidores receberam essa atualização (de preferencia antes de um worm ou virus se instalar!).


Gestão de Conformidade


A falta de instrumentos controle de conformidade e o impacto ligado a infecções massivas não é novidade. Virus e worms da década de 80 e 90 já se aproveitavam de sistemas vulneráveis e não atualizados para se espalharem. A diferença é que hoje temos os instrumentos para não apenas realizar controles mais apurados, mas em especial realiza-los de forma simplificada e automatizada. Essa é uma lição que as empresas deveriam perseguir desde o worm  <a href=http://en.wikipedia.org/wiki/Morris_worm>Morris</a> . Morris vive.


Empresas pequenas sofrem menos a pressão regulatória quando comparadas a grandes empresas, que estão sujeitas a SOX ou a outros padroes de conformidade, internos ou de mercado. Quick facts sobre conformidade externa ou interna: Não é simples, pode não ser exatamente barato, mas… Não é uma opção. As boas noticias: É possível uniformizar esse processo e tomar proveito dele para antecipar e bloquear ameaças das mais diversas, incluindo worms como o Conficker. Para tanto, é possível determinar qual é a configuração padrão desejável e a partir daí identificar de forma automatizada estações e servidores que estão fora desse padrão. Por exemplo: Existem pacotes de configuração não apenas ligadas a padrões de mercado, mas também melhores praticas.


Tal recurso permite por exemplo que se identifique proativamente estacoes e servidores fora do padrão: Por exemplo, sem o patch crítico XYZ ou que tenham serviços não usuais habilitados na chave ABC do registry. Lembrando que não adianta simplesmente olhar depois do ataque quais sao as maquinas que ja tem o patch. Se o mesmo foi instalado apos a infestacao pelo worm/virus, é tarde demais!


Uma simples mudança de status em um serviço que é desabilitado (como no caso do conficker, que desabilita determinados serviços) em um servidor ou estação poderia já disparar alarmes na monitoração e dar a opção ao usuário de identificar as razões da mudança.


Monitoração proativa para contenção de incidentes


Em ambientes afetados pelo Conficker e variantes foram observados eventos como account lockouts,  aumento de demanda dos controladores de domínio, “boom” de acessos a sites não convencionais e outros sintomas poderiam ser sentidos de forma simplificada e proativa. Muitas empresas simplesmente nao tinham formas de monitorar esse tipo de exceção, apesar de terem plataformas de monitoracao, correlacao de eventos, IDS, IPS e outras sopas de letrinhas. Vale lembrar que as ferramentas são ótimas, independente de qual sejam, a questão principal é que muitos processos não estão ajustados aos novos tempos. A ferramenta pode servir apenas para automatizar a bagunça. Essa foi uma das coisas que ajudou a identificar em 1988 o worm Morris. Sistemas vulneraveis afetados comecavam a ficar muito lentos e isso despertou a atenção de alguns administradores de sistemas


 


Muito bem. Mas o que fazer agora?


Action Required! Passado o incêndio, hora do rescaldo: É fundamental identificar não as ferramentas, mas quais processos precisam ser ajustados a nova realidade.


Não se engane! Muitos administradores acabam tentando se enganar pensando e repetindo coisas sem sentido como “Mas eu tinha apenas uma (ou poucas) máquinas sem patch em um universo de inumeras maquinas!” ou coisas parecidas. Como todos têm dito: Mede-se a resistência da corrente pelo elo mais fraco. Parece frase pronta e de fato é. O problema é que se repetiu tanto a frase que em muitos casos paramos de pensar em seu verdadeiro sentido.


 


 


Para maiores informações e referencias:


Overview do System Center Configuration Manager (http://www.microsoft.com/systemcenter/configurationmanager/en/us/demos.aspx)


Ten Principles of Microsoft Patch Management:


http://technet.microsoft.com/en-us/library/cc512589.aspx


How to Configure a Configuration Manager NAP Policy for a Zero-Day Exploit in Network Access Protection”


 http://technet.microsoft.com/en-us/library/bb694188.aspx


”Lições do Front: Zotob, Defesa Inteligente e Gerenciamento de Patches”  (http://technet.microsoft.com/pt-br/library/cc716524.aspx)


Microsoft Security Bulletin MS08-067 – Critical


: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx


Zotob: http://en.wikipedia.org/wiki/Zotob_(computer_worm)


Morris Worm: http://en.wikipedia.org/wiki/Morris_worm


Por: Aylton Souza


Colaborou:  Alexandre Peres, Microsoft Solution Specialist