Feilslått ormangrep mot Microsoft

Selv med to nye varianter av MSBlaster-ormen, merket ikke Microsoft noe til det bebudede tjenestenektangrepet.

Mandag i forrige uke dukket opp en lenge bebudet orm, døpt vekselvis MSBlaster, Blaster og LoveSan, som utnyttet en alvorlig sårbarhet i flere varianter av Windows, fra 98 til 2003 Server. Sårbarheten var blitt kjent 16. juli, og Microsoft hadde lagt ut en fiks, med en alvorlig advarsel. To uker seinere gikk amerikanske myndigheter ut med en spesiell advarsel til systemadministratorer om at de måtte sørge for å tette hullet før hackere utnyttet det til å ramme viktige datanettverk. Likevel spredde ormen seg svært raskt de første timene, og enda en gang viste det seg at selv seriøst drevne nettverk ikke hadde tatt hensyn til advarslene. MSBlasters verste skadevirkning var at smittede maskiner deltok i et distribuert tjenestenektangrep ("distributed denial of service", også kalt "distributed DoS") mot Windows-oppdateringstjenesten til Microsoft.

Mens mange lot seg blende av det kumulerte tallet på smittede maskiner – som ifølge Symantec vokste etter hvert til over 400.000 – var det klart allerede onsdag at tallet på aktive smittespredere var på retur, og var allerede før helgen nede i 50.000, igjen ifølge Symantec. Det hindret ikke ryktet fra å gå torsdag, da USA og Canada ble rammet av historiens største strømsvikt, at det på et eller annet vis kunne skyldes MSBlaster-ormen. Samme dag opplevde Microsoft et reelt fire timer langt tjenestenektangrep, helt uavhengig av både MSBlaster og strømstansen, og som ennå ikke er avklart.

Tabellen nedenfor, med de ferskeste tallene fra Internet Storm Center, viser for hver dag de siste ni dagene, registrert unormal trafikk over port 135, som er MSBlasters primære smittevei. "Kilder" betyr hvor mange IP-adresser som sender ut trafikken, "mottakere" betyr hvor mange IP-adresser som har mottatt trafikken, og "tilfeller" betyr hvor mange smitteforsøk det har vært til sammen.

Tabellen viser klart den plutselige og voldsomme økningen forrige mandag da ormen først dukket opp, hvordan den kulminerte tirsdag, og hvordan den allerede onsdag var i ferd med å ebbe ut. Den eneste kategorien som ikke gikk jevnt nedover hele uken, var "mottakere". I går var tallet på "kilder", altså maskiner som sendte ut smitte, nede i 63.000. Lørdag, som skulle være dagen for tjenestenektangrepet mot Microsoft, skiller seg ikke ut fra nedgangstrenden.

Microsoft hadde selvfølgelig tatt sine forholdsregler, og omdirigerte den legitime oppdateringstrafikken for Windows slik at tjenesten var tilgjengelig uavbrutt gjennom hele helgen. En talsperson for selskapet presiserte samtidig til nyhetsbyråene at man ikke merket noe til varslede nettverksforstyrrelser.

Sikkerhetsekspertene advarer at det fortsatt er tilstrekkelig mange aktive smittespredere til at smittefaren kan holde seg i mange måneder framover. En annen faktor er at nye varianter av MSBlaster, eller andre ormer som utnytter den samme sårbarheten, kan programmeres langt mer fagmessig, og angripe langt mer effektivt. Det er derfor fortsatt påkrevet at man oppdaterer maskiner der hullet ennå ikke er tettet.

Internet Storm Center advarer samtidig at det allerede er registrert e-postvirus som spres under dekke av å være "Blaster Worm Fix". Igjen må det understrekes at man ikke kjører vedlegg fra ukjent opphav, og holder seg til antivirus og sikkerhetsoppdateringer fra kjente leverandører. Senteret sier også å ha mottatt rapporter om at Microsoft-skanneren som systemadministratorer kan bruke for å sjekke om PC-er på nettet er oppdatert eller ikke, i noen tilfeller feilrapporterer fiksede Windows 98-klienter som sårbare. Senteret anbefaler sin egen skanner.

Til toppen