Suchen

Brute-Force-Attacke im Netzwerk RDP-Wurm Morto nutzt schwache Administrator-Passwörter

| Redakteur: Stephan Augsten

Ein neuer Wurm namens Morto nutzt das Remote Dektop Protocol von Windows, um in infiltrierten Netzwerken nach anfälligen Rechnern zu suchen. Der Schadcode loggt sich selbständig in Systeme mit schwachen Administrator-Passwörtern ein, um sich weiter zu verbreiten. Starke Kennwörter schaffen also Abhilfe.

Firmen zum Thema

( Archiv: Vogel Business Media )

Im Internet kursiert derzeit der Wurm Morto alias Win32/Morto, der sich über das Windows Remote Desktop Protocol (RDP) verbreitet. Hat der Schadcode erst eine Maschine im Netzwerk infiltriert, so fahndet er nach weiteren Client- und Server-Rechnern mit aktivierter RDP-Schnittstelle. Dies äußert sich in einem erhöhten Datenverkehr auf dem RDP-eigenen TCP-Port 3389.

Sobald der Wurm ein anfälliges System erkennt, versucht er das Administrator-Passwort des Rechners per Brute Force zu erraten. Bei einem erfolgreichen Login kopiert der Wurm sich selbst auf den Rechner, beendet die Prozesse lokaler Sicherheitsmechanismen und sucht anschließend nach dem nächsten anfälligen Rechner.

Morto ist somit einer der wenigen aktuellen Schadcodes alter Schule. Marc Maiffret, CTO von eEye Digital Security, fühlt sich an „die alten Zeiten“ erinnert, in denen sich CodeRed, Slammer, Sasser, Blaster und andere Schädlinge verbreiten konnten. Unternehmen könnten sich laut Maiffret schützen, indem sie direkte RDP-Zugriffe über das Internet verbieten und den RDP-Traffic über alternative Netzwerk-Ports leiten.

Im TechNet Blog hat Microsoft bereits am Sonntag die Existenz des Wurms bestätigt. Noch ist allerdings unklar, welche Windows-Versionen tatsächlich anfällig für den Schadcode sind und wie weit sich der Wurm tatsächlich in einem Netzwerk verbreiten kann. Als Gegenmaßnahme empfiehlt Microsoft, sichere Passwörter mit mindestens 14 Zeichen für sämtliche Administrator-Konten zu wählen.

(ID:2052748)