Conficker.D, znovu se objevující bezpečnostní hrozba







Update [08/04/2009]: Protože, zdá se, že jsme "z nejhoršího venku", nic velkého se - zase - nestalo, dovolil bych si šťouchnout do konkurence, do MacBooku. Doporučuji si přečít tento rozhovor. V rozhovoru mě zaujaly především tyto pasáže "Safari on the Mac is easier to exploit.  The things that Windows do to make it harder (for an exploit to work), Macs don’t do." a "With my Safari exploit, I put the code into a process and I know exactly where it’s going to be.  ...  On Windows, the code might show up but I don’t know where it is.  Even if I get to the code, it’s not executable.  Those are two hurdles that Macs don’t have.". Nic není nemožné...


Update [17:40, 31/3/09]: mezi prvními informovanými (proaktivně) byli členové naší bezpečnostní databáze. Více jak se do této databáze zaregistrovat najdete zde


O Confickeru jsme již psali zde. Jeho další mutace Conficker.D (rovněž známý pod názvem Conficker.C; ale některé firmy jej nazývají i Downadup.C) hrozí aktualizací svého algoritmu 1.dubna 2009.


Škodlivý kód stále zneužívá chybu, kterou jsme opravili již v aktualizaci MS08-067 z minulého října. Přesto i vám všem, kteří jste aktualizaci nasadili, doporučuji prostudovat následující.


Zde jsou v krátkosti doporučení k této nové verzi tohoto škodlivého kódu, která by se měla aktivovat 1.dubna 2009:



  • Doporučujeme nasadit všechny dostupné bezpečnostní aktualizace, včetně aktualizace MS08-067, kterou jsme vydali již v říjnu a informovali o ní (jen na tomto blogu si zprávu přečetlo přes 40 000 z vás).

  • Počítač si můžete zkontrolovat pomocí Windows Live safety scanner.

  • Rovněž doporučujeme spustit Malicious Software Removal Tool

  • Používejte antivirový program, např. Microsoft Forefront. Zde více i o jiných antivirech.

  • Používejte silná hesla ke všem přístupům/účtům.

  • Věnujte zvýšenou pozornost funkci AutoRun (automatické spouštění).

Prvního dubna by si nová verze Confickeru měla stáhnout nové instrukce co se týká jeho dalšího šíření, rovněž je známo, že vypíná automatické aktualizace jak s Microsoft Update, tak aktualizace dalších antivirových programů.


Dostupné zdroje:



Radim

Comments (4)

  1. Milan Rybák says:

    Radime,

    díky za důležitý a velmi užitečný článek!

    Patří však spíše do blogů určených pro BFU.

    MS Technet IMHO navštěvují převážně profesionálové, kteří dovedou min. instalovat KB 😉

    Nejhorším bezpečnostním průšvihem MS byla měsíc nezáplatovaná díra v 32-bit MSIE/WIE:

    http://blogs.technet.com/technetczsk/archive/2008/12/15/dal-d-le-it-update-pros-m-t-te-961051.aspx

    Proč se zabývat dávno záplatovanou bezpečnostní hrozbou , aktuální naposledy před půl rokem, kdy ještě nebyla vydána záplata??

    A navíc v článku chybí důležité informace, týkající se možností opravdu bezpečného pohybu v nebezpečné veřejné síti:

    A) virtuální OS libovolného typu s nastavením "Delete changes on exit", např. MS Virtual PC 2007:

    http://www.microsoft.com/downloads/details.aspx?FamilyId=04D26402-3199-48A3-AFA2-2DC0B40A73B6&displaylang=en

    B) MS Windows SteadyState:

    http://www.microsoft.com/downloads/details.aspx?FamilyID=d077a52d-93e9-4b02-bd95-9d770ccdb431&displaylang=en

    který je však dostupný pouze v 32-bit verzi :-/

    podobně jako spousta dalších nástrojů 🙁

    (Btw: myslí to MS vůbec vážně s podporou 64 bitů??)

    C) libovolný typ live OS (boot z CD/DVD);

    apod.

    Protože každý OS, do kterého lze (trvale) zapisovat, je potenciálně napadnutelný, bez ohledu na platformu a/nebo výrobce.

    A dále chybí důležité upozornění, že ani nejaktuálnější antivirus (libovolného výrobce) nemusí nové podoby stejných exploitů vůbec rozeznat (= neřeší Zero day security).

    Mnohem důležitější je aktualizovaný OS, dobře nastavený fw, i-prohlížeč a systémové politiky. A nakonec i opatrný BFU 🙂

    Ještě k detailům článku:

    "Instalovat všechny dostupné záplaty" není dobrý nápad :-/

    Ne všechny KB jsou plně funkční s každou hw/sw konfigurací.

    "Věnujte zvýšenou pozornost funkci AutoRun" je velmi slabé vyjádření. Stačí napsat  "Zakázat funkci Autorun" s řadou vykřičníků.

    V OS WNT 6.xx je naštěstí pro BFU tato fatální bezpečnostní díra zalátaná (by default zakázáno) a dokonce zde funguje nastavení této funkce z GUI Control panelu (narozdíl od starších verzí OS).

    Ještě jednou Ti děkuji – a nenech se otrávit mými připomínkami 🙂

  2. Michal Zobec says:

    čau Milane,

    tvá poznámka:

    **(Btw: myslí to MS vůbec vážně s podporou 64 bitů??)**

    se mi docela líbí 🙂

    ale možná nestíhají vše překopávat na x64 platformu a nebo předpokládají že 64bit používají jen geekové 😉

  3. Kazzan says:

    Off topic:

    Doufám, že s 64bitem se to myslí vážně, však další Win Servery či Exchange nebo co to bylo mají být už jen 64bit.

    Nebudu tu rozebírat odbornost čtenářů ani pisatele, důležité je, že MS nedělá mrtvého brouka. Kdyby ho dělal, všichni ho za to ukamenují. A přiznejme si, že drtivé procento bezpečnostních ohrožení se týká nelegálních instalací Windows, které neviděli aktualizace od své instalace.

  4. radim2 says:

    To Milan Rybak>

    Milane, predevsim diky za naprosto "fpohode" a konstruktivni komentar. A take se omlouvam, ze reaguji az ted, byl jsem na dovolene. Ted k nekterym vecem:

    1. proc se zabyvame veci, ktera je jiz zaplatovana… no protoze se o tom hodne mluvi a ne kazdy je na spicce IT poznani. Tady interne jsme odpovidali na celkem hodne novinarskych dotazu, prijela televize… Minimalne bylo treba zopakovat to, co bylo jiz receno drive (o tom zde pise i Kazzan).

    2. 64b: jdeme do toho, je to nevyhnutelne, a vse je jen otazka casu/nakladu/velikosti trhu. Michal Zobec a Kazzan o tom take pisi…

    3. Instalovat vsechny dostupne aktualizace: zde neni mozne, za MS, nic jineho rici. Vim, ze nektere softwary 3tich stran nemusi s nasimi aktualizacimi fungovat, ale je otazkou, zda je to nasi, ci jejich chybou. Ja duveruji nasim vecem. Jakakoliv dalsi diskuze by byla spekulace.

    4. AutoRun: ano, souhlasim, ale mozna, ze je zde nekdo, kdo tuto funkci potrebuje mit zapnutou, z nejakeho, mne neznameho, duvodu 🙂

    Radim

Skip to main content