Brute-Force-Attacke im Netzwerk RDP-Wurm Morto nutzt schwache Administrator-Passwörter

Redakteur: Stephan Augsten

Ein neuer Wurm namens Morto nutzt das Remote Dektop Protocol von Windows, um in infiltrierten Netzwerken nach anfälligen Rechnern zu suchen. Der Schadcode loggt sich selbständig in Systeme mit schwachen Administrator-Passwörtern ein, um sich weiter zu verbreiten. Starke Kennwörter schaffen also Abhilfe.

Anbieter zum Thema

Im Internet kursiert derzeit der Wurm Morto alias Win32/Morto, der sich über das Windows Remote Desktop Protocol (RDP) verbreitet. Hat der Schadcode erst eine Maschine im Netzwerk infiltriert, so fahndet er nach weiteren Client- und Server-Rechnern mit aktivierter RDP-Schnittstelle. Dies äußert sich in einem erhöhten Datenverkehr auf dem RDP-eigenen TCP-Port 3389.

Sobald der Wurm ein anfälliges System erkennt, versucht er das Administrator-Passwort des Rechners per Brute Force zu erraten. Bei einem erfolgreichen Login kopiert der Wurm sich selbst auf den Rechner, beendet die Prozesse lokaler Sicherheitsmechanismen und sucht anschließend nach dem nächsten anfälligen Rechner.

Morto ist somit einer der wenigen aktuellen Schadcodes alter Schule. Marc Maiffret, CTO von eEye Digital Security, fühlt sich an „die alten Zeiten“ erinnert, in denen sich CodeRed, Slammer, Sasser, Blaster und andere Schädlinge verbreiten konnten. Unternehmen könnten sich laut Maiffret schützen, indem sie direkte RDP-Zugriffe über das Internet verbieten und den RDP-Traffic über alternative Netzwerk-Ports leiten.

Im TechNet Blog hat Microsoft bereits am Sonntag die Existenz des Wurms bestätigt. Noch ist allerdings unklar, welche Windows-Versionen tatsächlich anfällig für den Schadcode sind und wie weit sich der Wurm tatsächlich in einem Netzwerk verbreiten kann. Als Gegenmaßnahme empfiehlt Microsoft, sichere Passwörter mit mindestens 14 Zeichen für sämtliche Administrator-Konten zu wählen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:2052748)