Mærsk ramt af zero-day USB-genvejsorm

Shippinggiganten A.P. Møller-Mærsk er blandt de firmaer, som er blevet ramt af den orm, som Microsoft i denne uge har advaret mod. Ormen spreder sig via USB-lagermedier, og 39 pc'er er foreløbig ramt hos Mærsk.

Den danskejede globale shippinggigant A.P. Møller-Mærsk er blevet ramt af den orm, som Microsoft i denne uge udsendte en advarsel om. Det skriver nyhedsbureauet Direkt ifølge Borsen.dk.

**Læs også: **Microsoft: Genvejsikoner udnyttes til at sprede ny Windows-orm via USB-drev.

Foreløbig er 39 Windows-pc'er blevet ramt af ormen, som spreder sig ved at kopiere sig fra en inficeret pc til USB-lagermedier og på den måde videre til andre Windows-pc'er, hvor USB-mediet indsættes. Ormen kan dog også sprede sig via netværksdrev.

Mærsk har derfor ifølge Direkt mistanke om enten et USB-drev eller nogle interne filservere i Danmark. De inficerede pc'er hos Mærsk befinder sig nemlig alle i Danmark.

Hos Mærsk vurderer man, at ormen ikke har været skyld i tyveri af vitale informationer, og hændelsen har heller ikke haft betydning for driften i større omfang.

»Der er ikke noget i det her, som rykker ved en eneste container eller flytter et eneste borerør,« siger it-sikkerhedschef Kim Aarenstrup til Direkt ifølge Borsen.dk.

Ormen udnytter en endnu ikke lukket sårbarhed i Windows, som findes i de biblioteker, Windows benytter til at finde det rette ikon for en genvej i en mappe.

Det betyder, at den ondsindede kode bliver udført, når brugeren åbner mappen for at se eksempelvis de filer, som ligger på USB-drevet. Det kan også ske, hvis brugeren har sat Autoplay-funktionen i Windows til automatisk at vise indholdet af rodmappen, når brugeren indsætter et USB-lagermedie.

Microsoft oplyser, at selskabet arbejder på at få lavet en egentlig sikkerhedsopdatering, som lukker sikkerhedshullet. I mellemtiden har Microsoft lavet et særligt hotfix, som forhindrer, at sårbarheden kan udnyttes. Til gengæld vil alle genvejsikoner blive sat til et tomt standardikon.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

Det er næppe 0-day der anvendes af Sality.

Sality er en kendt netværksorm og informationstyv. Den findes i flere end 200 varianter.

Den spreder sig via "autorun", shares og kendte windows sårbarheder og indeholder ikke nogen 0-day payload eller egenskaber.

Koden er polymorphisk, men det gør den ikke til en 0-day trussel :-)

Venligst Peter

  • 0
  • 0
Jacob Hansen

Pointen med at kalde den en 0-day, var nok mere at forklare at de har antivirus og andet beskyttelse, men dette ikke fangede den.

  • Ikke at jeg mener de har ret i at det faktisk er en 0-day, kender ikke detaljerne.
  • 0
  • 0
Log ind eller Opret konto for at kommentere