Morto-Wurm greift Windows über Remote-Desktop-Funktion an

HappyMutant

HappyMutant

Neuling
Thread Starter
Mitglied seit
23.06.2007
Beiträge
427
<p><img style="margin: 10px; float: left;" alt="virus" src="images/stories/logos/virus.jpg" height="100" width="100" />Seit einigen Tagen verbreitet sich ein Wurm namens Morto im Netz, der in seiner Hauptfunktion nicht etwa eine Sicherheitslücke von Windows ausnutzt, sondern versucht über das Remote Desktop Protocol (RDP) von Microsoft auf Windows-Rechner zu gelangen. Antwortet ein Rechner auf die Anfragen über den RDP-Port 3389, versucht er sich mit einfachen Passwörtern als Administrator einzuloggen um sich von dort aus weiter zu verbreiten.</p>
<p>Das proprietäre RDP-Protokoll wird üblicherweise für die Fernwartung von Windows-Rechnern verwendet und ist vor allem bei den Windows-Server-Varianten relevant. Bei den Windows-Versionen für Heimanwender wird der für den Angriff...<p><a href="/index.php?option=com_content&view=article&id=19719&catid=57&Itemid=150" style="font-weight:bold;">... weiterlesen</a></p>
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also was bedeutet das?! Zum Schutz alle wieder ein Floppy-Laufwerk einbauen, damit Laufwerksbuchstabe A: vergeben ist.:d
 
Einfach nen vernünftiges Passwort verwenden und gut ist.
 
Gut, wenn man sicherheitsbewusst wie ich ein höchst komplexes Passwort '0815' gewählt hat. Da kommt niemand drauf... ;)
 
Zum glück hab ich noch ein Floppy im rechner drinnen, denn aus tratitions gründen verbau ich im jeden rechner noch ein floppy und muss sagen bin zum teil auch echt froh darüber. denn graka blind flashen währe sonnst schwer. und jetzt wo das floppy noch als viren schutz dient, ein traum ^^
 
Man kann problemlos den Laufwerksbuchstaben von Geräten entfernen, also bietet das keinen Schutz. ;)
 
aber das funktionier beim floppy nicht, das hatt endweder a und oder b
 
******* schrieb:
Mit nem Router davor sollte es keine Probleme geben.
Zum Vergrößern anklicken....

Im Prinzip ja, aber wenn man RDP bzw. den vollen Remote-Zugriff bewusst erlaubt, hat man natürlich auch den Port freigegeben. Und wenn man bisher nichts damit zu tun hatte, sollte es theoretisch gar nicht aktiviert sein, zumindest in den Heimvarianten. Und dann gibt es ja noch das beliebte UPnP, welches eifrig den Port öffnen würde, sobald man die Funktion unter Windows aktiviert. Gibt leider viele Fallstricke, auch wenn eine Firewall bzw. ein Router sicherlich hilfreich sind. :)

Zum Laufwerksbuchstaben. Mag sein, dass der Wurm jetzt noch dran scheitert, aber der Buchstaben kann es genauso gut austauschen. Außerdem muss man sich klar machen, dass das Ding sich eingeschränkte Adminrechte verschaffen kann (theoretisch alles was man Remote auch mit der befallenen Kiste machen kann), von daher kann es sicherlich noch einiges anstellen. Je nach RDP-Version geht da einiges.
 
Zuletzt bearbeitet:
******* schrieb:
Naja ich hab RDP schon an, aber fürs LAN. Weiß jetzt gar nicht, wie sich die Windowsfirewall einstellt, aber ich war letztens doch überrascht. Ich glaub RDP ist dann auch immer gleich fürs Internet freigegeben. Finde ich etwas merkwürdig von MS... :stupid:
Zum Vergrößern anklicken....

Woher soll Windows wissen, wo lokales LAN aufhört und Internet anfängt?
Das ist so nicht machbar...
 
es müsste ja auch reichen, den Port zu ändern oder? Ich mein, jetzt mal im ernst, wer remote desktop auch im Internet nutzt, lässt doch net den Standardport drin, den jeder Depp kennt.:fresse:
 
******* schrieb:
Das ist sogar ganz einfach machbar, die Windowsfirewall erlaubt solcherlei Einschränkungen, z.B. Zugang nur im Subnet. Also für mich als Homeuser würde das reichen. Ihr Corporate Guys seht das sicher aus nem anderen Blickwinkel. ;)
Zum Vergrößern anklicken....

Das ändert ja nix an der Tatsache... Für Windows ist alles, was nicht im lokalen Netz kommt, eben nicht lokal. Ob es dabei WAN ist oder ein schnödes anderes IP Netz im LAN ist dabei nicht unterscheidbar... Und das ist der Punkt. Auch im privaten Bereich können mehrere lokale Netze angelegt sein. Die Unterscheidung ansich ist für Windows selbst nicht möglich.
Und wenn es wirklich daran scheitern sollte, der intelligente Wurm nutzt eben NAT mit ner IP aus dem lokalen LAN ;) Da wird einfach was vorgegaukelt und schon helbelst diese ganze Funktion vollkommen aus... Macht also wenig Sinn. Oder der intelligente Wurm ändert einfach den IP Header also die Source Adresse oder sonstwas. Machbar ist da viel. Sicher ist also relativ.

Was aber sicher sein sollte ist einfach den Port dicht zu machen... Und schon ist man mehr oder weniger sicher vor dem Teil.
 
nur mal so, selbst wenn die Windows Firewall an sich es nicht unterscheiden würde, mittlerweile hängt doch faktisch jeder hinter nem Router mit Firewall. Und ohne dass der Port in dem Router freigegeben ist, wäre der PC dahinter über den Port nicht erreichbar. Und der 3386 wurde zumindest bei meinen Routern definitiv nicht selbstständig weitergeleitet.
 
******* schrieb:
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.
Zum Vergrößern anklicken....

Nochmal, woher soll Windows das unterscheiden!?
Entweder du machst die Firewall auf, oder eben nicht. Ist sie zu, geht kein RDP. Ist sie auf, ist es für die Windows Firewall ziemlich egal, von wo die Anfrage kommt, das kann sie nicht unterscheiden. Und selbst wenn sie es könnte, kann der intelligente Angreifer eben die Source IP im IP Header einfach umbiegen...
Oder er arbeitet mit NAT oder ähnlichen...

Wirksamer Schutz ist das nicht... ;)

Übrigens, gerade dieser Angreifer zielt doch offensichtlich gerade auf Firmennetze. Denn idR gibts Zuhause die Homeeditions von Windows. Ohne RDP. Mal sollte also auch in diesen Dimensionen denken... ;)
 
Das hat doch nix mit der größe der Subnetze zu tun ;)

Und das was du dort ansprichst im Bild. Im Grunde ist der Sinn dort ein anderer... Denn dort gehts um Source und Destination Eingrenzungen für Regeln. Das kann jede Firewall ;) Zumindest sollte sie können.
Aber das hat immernoch nix mit lokales LAN oder WAN zu tun bzw. mit deiner Aussage, das MS sich hier nicht clever genug anstellt. Auch ist dieses Feature eher im Firmenumfeld interessant, wo man mit fixen IPs (auch im WAN) arbeitet.
So kann man zum Beispiel einem Mailserver, der Mails ausschließlich von einem Relay weitergeleitet bekommt eine Firewall Regel erstellen, das SMTP Traffic (TCP Port 25) ausschließlich von IP xxx.xxx.xxx.xxx angenommen wird.
Oder halt auch dem RDP Beispiel, das die Regel eben nur für dort definierte Adressen gilt. Aber es ist halt immernoch händische Arbeit gefragt, um das zu pflegen, weil die Unterscheidung selbst für Windows ansich nicht machbar ist.
 
Zuletzt bearbeitet:
Ich wollte dir damit ja auch nur sagen, das es für Windows selbst eben schwer bis unmöglich ist, die Unterscheidung selbstständig zu treffen. ;) da Windows eben sich nicht ins Hirn des Users einklinken kann um zu sehen, was will der denn von mir genau...
Deshalb bin ich der Meinung, du erwartest zu viel ;)
 
Bei der üblichen Konfiguration einer Internet-Verbindung über einen Router wird die local subnet nichts bringen, da in dem Fall die LAN-IP des Routers als Absender drin steht und die gehört eben auch zum local subnet. Aber solange man die Remote-Desktop-Funktion nicht angeschaltet hat und zusätzlich noch eine Port-Weiterleitung im Router eingestellt hat, sollte das eigentlich nur eine Minderheit betreffen und die Leute die es betrifft können den Port ja einfach ändern, entweder direkt oder über eine Weiterleitung auf dem Router.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh