Vakava haavoittuvuus Windowsissa (aiheuttaa mm. koneen boott

Vittumainen ongelma mutta helppo fiksata. Päivitys täältä:
http://support.microsoft.com/default.aspx?scid=kb;fi;823980

Ja sittevielä F-Secure to the rescue:
http://www.f-secure.com/v-descs/msblast.shtml

No tää selittääkin miks mun kone on buuttaillu viime aikoina ihan sairaasti.

traagiset tapahtumat saivat tänään alkunsa klo 14:25 kun yritin avata word-dokumenttia ja kas kummaa word ryökäle herjaa vaan jotain puuttuvista linkeistä (joita ei todellisuudessa ollut ko. dokumentissa).

No sen jälkeen yritetään eskeliä avata ja sama homma "no object to link" tai jotain muuta herjaa...

Hetken perästä tulee jotain Winukan virhemessua RPC palvelun käynnistämisestä tai käynnistämättömyydesta...

Sitten alkaa testailu.. explorerissa ei voinut kopioida tiedostoja. Tai pystyi kopioimaan mutta paste oli harmaana aina, yritti sitten mitä vaan..

Jotain virhemessua taas tässä vaiheessa...

Kone boottiiin, ei auta asiaa...

Windows updaten kautta yritetään ajaa päivitystä, mutta ei suostu päivittäämään (virus kaiketi hyökkää sitä vastaan jos yrittää??)

No imuttaa virus-hotfixin toisella koneella MS:n sivuilta ja ajaa sen..

kone boottiiin ja voila voi, se toimii jälleen normaalisti!

traagiset tapahtumat saavat päätöksen noin klo 16 reikäleipä, hurraa!

avaa tärkeän (sisältää pari vitsinpätkää) word-dokumentin josta kaikki alkoi.

nauraa vitseille.

kotiin ja kone lepoon.

Tuossa viela symantecilta syva-analyysi pdf-muodossa:
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

he tarjoavat myos ilmaisen tyokalun madon poistoon, kuten f-securekin.
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html

Ezzy: Tosi hyvä muuten, että varotit täällä. On sen verran iso ja vakava asia kyseessä, että tosii hyvä juttu kun ilmoitit aiheesta ja kaikki peukaloni nostan pystyyn. Ja otsikkoriville lisäpeukalo.

Duunis meilläkin tuli sellaset automaattipäivitysruljanssit, ettei o tosi.

Ei muuten kannata luottaa siihen että toi ongelma saadaan aina fiksattua pelkällä pikkuohjelmalla. Oma varoittava tarina:

Viime perjantaina noin kello 15 tietokoneen verkko mykistyi yhtäkkiä. Viikonloppuna en ehtinyt verkkokatkosta sen kummemmin ihmetellä, mutta sunnuntaina sitten soitin ylläpitoon. He sanoivat että asunnon tietoverkkoyhteys on katkaistu, koska koneeseen on murtauduttu RPC-haavoittuvuutta hyväksi käyttäen. (Kyseessä ei siis ole tämä mato mistä F-Secure varoittaa, vaan samaan reikää hyväksikäyttäen koneelle oli asennettu rootkit.) Parannuskeino: kovalevyt on formatoitava ja käyttöjärjestelmä asennettava uudestaan. Vasta sitten kone voidaan kytkeä takaisin verkkoon.

Vitutus on lievästi sanottuna melkoinen. Ensinnäkin koneella on noin 60G sellaista tavaraa joka täytyy ottaa talteen. Tämä on backupattu kahdelle fyysiselle kovalevylle, mutta koska kovot ovat sisällä koneessa, täytyy ne formatoida joka tapauksessa. CD:ille polttelu vie päiviä ja järkyttävän määrän romppuja. Onneksi saan huomenna lainaan ulkoisen 80GB kovon johon tieto voidaan backupata turvaan.

Toisekseen vituttaa se että tolle koneelle ylipäätään pystyttiin murtautumaan. Tossa koneella on automaattinen Windows Update päällä, joten luulin että kone olisi ollut suojassa tolta RPC-ongelmalta (olin kyllä jopa tiennyt että MS on julkaissut siihen patchin). Kone ei ollutkaan kuitenkaan hakenut mitään uusia päivityksiä, koska tietokoneen päivämäärä oli väärässä ajassa!

Kolmannekseen F-Securen Antivirus ei inahtanutkaan, vaikka siinä oli aivan uusimmat päivitykset (samalta päivältä). Osoittaa hyvin sen että noilla softilla voi pyyhkiä hyvin pöytää siinä vaiheessa kun maailmanlaajuinen, nopea epidemia iskee.

- - -

Omana henkilökohtaisena arviona luulen että tosta RPC-haavoittuvuudesta tulee vielä ihan hemmetin iso juttu. Haavoittuvuus on kuitenkin lähes kaikissa Wintoosan versioissa, joten se koskettaa ehdotonta valtaosaa maailman kaikista tietokoneista. Kuinka moni tavallinen käyttäjä muistaa hakea säännöllisesti kaikki päivitykset? Lisäksi kieroa tossa on, että yksi noista madoista aloittaa 16.8. DDoS-hyökkäyksen windowsupdate.comia vastaan. Eli siis kaikki maailman jo saastuneet koneet ryhtyvät lähettämään 20ms välein tavaraa, jolloin windowsupdate.com todennäköisesti kyykyttyy. Seuraus: tarvittavien suojauspatchien hakeminen vaikeutuu entisestään.

Ainakin täällä TKK:lla aikoo ylläpito käyttää aika koviakin toimia ton epidemian selvittämiseksi. Sen lisäksi että kaikki saastuneet koneet suljetaan verkosta pois, aikoo ylläpito sulkea 16.8. mennessä kaikki nekin koneet jotka ovat vielä puhtaita mutta joihin ei ole haettu tarvittavaa patchia. Eli siis satoja koneita.

niin, tämä päivitysrumbahan ei saa puhelinmodeemin omistajaa yhtään vittuuntumaan. Minuutti minuutilta puhelinlasku kasvaa :mad:

Jostain syystä olenkin jättänyt kaikki wintoosan päivitykset tekemättä. Vaimoa olen opastanut vetämään modeemin piuhan irti, jos epäilee virusta tms.

Jos joku haluaa mun modeemiyhteyden ryövätä, tai käyttää sitä DoS hyökkäyksiin, niin sopii yrittää. Kone on ehkä ½ tuntia päivässä päällä ja aivan satunnaisina aikoina ;) Virusturvan sentään olen jaksanut päivittää 2 päivän välein.

Kolmannekseen F-Securen Antivirus ei inahtanutkaan, vaikka siinä oli aivan uusimmat päivitykset (samalta päivältä). Osoittaa hyvin sen että noilla softilla voi pyyhkiä hyvin pöytää siinä vaiheessa kun maailmanlaajuinen, nopea epidemia iskee.

hmm... eiks ton RPC-yhteyden muodostamisen estäminen ole pikemminkin tulimuurin heiniä kuin antivirus softan?

Zonealarm palomuuri ainakin korjasi tuon turvallisuus ongelman.

Vitutus on lievästi sanottuna melkoinen. Ensinnäkin koneella on noin 60G sellaista tavaraa joka täytyy ottaa talteen.

No suurinpiirtein 13 DVD -levyä menis. Ja vartti per levy, eli vajaa neljä tuntia ku ne on kaikki tallessa.

...tai sit tosiaa sen ulkosen kovon kanssa...

Tossa koneella on automaattinen Windows Update päällä,

Ja sä luotat siihen? Käsi ylös kaikki, joilla Windows Update toimii moitteetta, eikä ite oo koskaa ollu tarvetta korjailla?

(Epäilen, että sali huokaa tyhjyyttään.)

Haavoittuvuus on kuitenkin lähes kaikissa Wintoosan versioissa, joten se koskettaa ehdotonta valtaosaa maailman kaikista tietokoneista.

Toihan on Linuxin valtti. Windowsin tietoturva on ollu aina vähä niin ja näin ja siksipä tuo open-source puoli Linuxilla on toiminu niin, että ne kaikki nörtit himassa ku chattaa ja kirjoittaa niitä koodipätkiä on just siihen tietoturvaan panostanu. Ettei kaverit pääse häkkää koneelle. Ja ku ne on sitä leikkiä leikkiny kauan, niin on tullu turvallinen käyttis. No Linux muuten käyttiksenä on just sellanen hakkereitten väsäelmä, mut kumminkin...

Tähän pätee vanha viisaus :)

"Syyttäköön itseään, joka pitää windows-konetta suoraan internetissä"

Palomuurin taakse vaan, niin ei pääse pöpöt ökkimään.

Windows-updatet ja muut messenger kilkuttimet sai lähtee lopullisesti *day one* kun XP:n otin käyttöön... Syö tehoja ja aiheuttaa just kaiken maailman ikävyyksiä. Noi päivityksetkin voi hoitaa ihan itse surffailemalla aina välillä sinne mikkisoftan WU sivuille.

Ai kuinka? -> http://www.blackviper.com/WinXP/supertweaks.htm

Firewall on kyl kans aika ehdoton... Itsellä on Zone Alarm Pro hankittuna ja oon kyl ollut siihen enemmän kuin tyytyväinen. Yleiskuva interneetistä muistuttaa kuitenkin reikäjuustoo siivilässä, ilman mitään lisäkilkuttimii konees on aina verkossa ollessaan auki ulkopuolisille.

Johan tuo on ollut pari viikkoa yleisessä tiedossa ja korjaus ollut saatavilla.

Aikaisemmin mulla oli tosiaan käytössä softapalomuuri (ZoneAlarm). Kokemukset tosta oli kuitenkin sen verran negatiiviset, että otin koko kikkareen pois käytöstä ja ajattelin jossain vaiheessa kun rahaa on ostaa ihan erillisen rautapalomuurin... Vaan en sitten ehtinyt tarpeeksi ajoissa. :(

Vähän ihmetyttää toi että mitään automaattisia muistutuksia ja latauksia ei pitäisi olla käytössä. Mä en ainakaan jaksa joka päivä käydä tarkistamassa onko tullut uusia viruspäivityksiä tai windowsin päivityksiä. Ja jos niitä harvakseltaan hakee, niin hyöty on aika pieni, koska mitä todennäköisimmin ne päivitykset tulee silloin myöhässä.

Originally posted by jaksu
hmm... eiks ton RPC-yhteyden muodostamisen estäminen ole pikemminkin tulimuurin heiniä kuin antivirus softan?

Joo, mutta kun toi virustorjuntaohjelma ei mielestään löytänyt mitään kummallista koko koneelta, mikä osoittaa hyvin kuinka pahasti jäljessä noi tunnistimet tulee.

Kaikki, joilla roikkuu nurkassa käyttämätön pentium tai parempi:
Coyote Linux -palomuuri & reititin asentuu siihen melkein itsestään. Koneesta voi buutauksen jälkeen sammuttaa kovon, sillä sitä käytetään vain käynnistyksen yhteydessä. Hiljainen on mokoma ja virtaakin kuluu niin vähän(kovo sammutettu, ei näyttöä, prossu alikellotettu+tuuletin siitä poistettu) ettei powerin tuuletinkaan ole käytössä.

Blokatkaa firewallista portti 135, pitäisi auttaa ensihätään.
Ja jos mato on jo yllättänyt ja minuutin timeri tulee esille, muuta nopeasti kello tuntia tai kahta aikasemmaksi, niin eipä ehdi heti buutata. Hanki nopeasti korjauspaketit.
Ei tuon korjauspaketin asentamisen kanssa ole vielä ongelmia, mutta kun esim. NT 4.0:lla koko korjauspakettia ei ole eikä tule, koska "NT 4.0 on vanhentunutta tekniikkaa eikä sitä voida korjata". Odotan kauhulla, jos tuo pääsee firewallin sisään työpaikan n~200 NT 4.0 koneeseen :(

Lisäksi kieroa tossa on, että yksi noista madoista aloittaa 16.8. DDoS-hyökkäyksen windowsupdate.comia vastaan. Eli siis kaikki maailman jo saastuneet koneet ryhtyvät lähettämään 20ms välein tavaraa, jolloin windowsupdate.com todennäköisesti kyykyttyy.

Very true.. Eilen kaato updaten yritys IE:n ja tänään ei tunnu pääsevän ees koko WIndows Updatelle.. hienoa :) no onneks patchiin löyty toi erillinen linkki ja oon muuten aina suht säännöllisin väiajoin käyny tsekkailemassa onko päivityksiä tullut..

Aikaisemmin mulla oli tosiaan käytössä softapalomuuri (ZoneAlarm). Kokemukset tosta oli kuitenkin sen verran negatiiviset, että otin koko kikkareen pois käytöstä ja ajattelin jossain vaiheessa kun rahaa on ostaa ihan erillisen rautapalomuurin... Vaan en sitten ehtinyt tarpeeksi ajoissa. :(

Minkälaiset negatiiviset kokemukset, mulla ainakin toimii siististi
taustaajona; toimii filesharing yms. kivasti, application control on
aika näppärä ja blokkaa pop-upit. Eli itellä ei ainakaan tosta
softasta ole mitään valittamista.. :)

mutta kun esim. NT 4.0:lla koko korjauspakettia ei ole eikä tule, koska "NT 4.0 on vanhentunutta tekniikkaa eikä sitä voida korjata". Odotan kauhulla, jos tuo pääsee firewallin sisään työpaikan n~200 NT 4.0 koneeseen :(

Sellaista se bisnes on, joku haviaa aina. Ymmarrettavaa etta ms haluaa keskittya tarjoamaan kriittisia paivityksia uudempiin kayttojarjestelmiinsa joita kaytetaan enemman, toisaalta, luulisi et noin suuressa yrityksessa olisi varaa palkata pari kooderia backporttaamaan kriittisimpia paivityksia vanhempinkiin kayttiksiin, mutta kyseessa onkin bisnes; haluavat pakottaa kayttajat ostamaan uudemmat versiot ohjelmistoista sopivin valiajoin.

Toisaalta, eipa Redhatiltakaan valu tukea kovin vanhoille versioille heidan linux-distribuutiostaan. Gentoossa on mielestani mukavan transparentti tuo kayttojarjestelman versio, jolla ei oikeastaan ole mitaan merkitysta kuin kayttiksen asennusvaiheessa (tai oikeastaan edes siina muuten kuin etta kunhan nyt suht uuden version hakee ettei tarvi montaa paivaa kaannella paivityksia). Koko jarjestelma paivittyy uudempaan vahitellen sita mukaa kun sen paketinhallinnasta paivittelee uudempia versioita ohjelmista (bugikorjauksia, uusia versioita, tietoturvapaivityksia jne). Tallaista mallia tuskin tullaan nakemaan kaupallisen softan puolella.. :)

nojoo menipa offtopic hieman.

Kiitti varoituksista, kerkesin hoitamaan tarvittavat päivitykset ennen kuin mitään (kai) sattui.