תולעת ראשונה מסוגה מתפשטת בשבועיים האחרונים בעולם, תוך שימוש וניצול ה-RDP (Remote Desktop Protocol) - פתרון ההשתלטות מרחוק הקיים באופן מובנה במערכות ההפעלה של מיקרוסופט.
התולעת, אשר כינוייה Morto ואשר מתמקדת הן בתחנות העבודה והן בשרתי Windows, תוקפת את שירות ה-RDP ועלולה לאפשר לתוקפים לשלוט על מכונות נגועות; בנוסף, הופכות העמדות הנגועות לחלק מרשת bots עולמית (botnet) אשר עלולה לשמש לתקיפות מניעת-שירות-מבוזרות (DDoS).
בכדי שתחנה/שרת יהיו פגיעים לתולעת, צריכים להתקיים שני תנאים:
- - התחנה צריכה להיות זמינה להשתלטות מרחוק באמצעות RDP
- - סיסמת ההתחברות (השתלטות) בפרוטוקול זה צריכה להיות חלשה
התולעת מנסה להתפשט ולהפיץ את עצמה באמצעות סריקת הרשת לאיתור תחנות הפתוחות ל-RDP (בפורט 3389/TCP); לאחר שאותרו תחנות זמינות, מנסה התולעת לבצע Brute-Force לסיסמת ההתחברות/השתלטות תוך ביצוע נסיונות של עשרות סיסמאות פשוטות (ונפוצות בשימוש) דוגמת "12345", "administrator", "password" ועוד.
לאחר שמבוצע בהצלחה ה-Login, מעתיקה עצמה התולעת אל המחשב הפגיע; מכונה נגועה תייצר כמות גדולה מאוד של תעבורה יוצאת בפורט 3389, בכדי לסרוק תחנות נוספות פוטנציאליות להדבקה. לכן תיתכן גם השפעה על תעבורת הרשת הפנימית (האטה של שירותים וזמני תגובה של אפליקציות).
התולעת נחשבת על-ידי חברות האבטחה כתולעת "טיפשה", וזאת בשל מנגנון ההתפשטות הפשוט יחסית שלה; עם זאת, העובדה שאלפי שרתים בעולם כבר נפגעו ממנה, משמעותה שארגונים רבים עובדים בתצורות בלתי מאובטחות ובעיקר משתמשים עדיין בסיסמאות פשוטות מאוד וקלות לפיצוח.
יש לשים לב כי Motro - בניגוד לתולעים "סטנדרטיות" דוגמת Conficker, Blaster ואחרות - אינה מנצלת פגיעות (Vulnerability) במערכת ההפעלה או בפרוטוקול, אלא פשוט סיסמאות חלשות, שמשמעות קיומן ברשתות ארגוניות הינה עבודה בניגוד לכלל ה-Best Practices המקובלים. גם במקרה זה - כמו ברבים אחרים - מומלץ להטמיע עבודה עם סיסמאות חזקות בכדי למנוע התחברויות בלתי מורשות אל מערכות, מכל סוג שהוא.
לידיעה המקורית (אנגלית) - כאן
ידיעה נוספת (אנגלית) - כאן
התייחסות של מיקרוסופט (אנגלית) - כאן