Sløseri med Windows-opdateringer banede vej for Downadup-angreb

Der er for meget kludetæppe over patch-arbejdet i virksomhederne. Havde alle installeret de kritiske patches fra Microsoft i efteråret, var Downadup-balladen aldrig blevet til noget, siger teknisk direktør hos antivirusfirmaet Trend Micro.

Sikkerhedsarbejdet hos virksomhederne er tit alt andet end imponerende. Sådan lyder dommen fra teknisk direktør for Trend Micro, Raimund Genes

»Jeg gik faktisk og troede, at administratorerne gjorde et godt stykke arbejde med at patche deres systemer, men mange gjorde altså et elendigt stykke arbejde,« siger Raimund Genes til Version2.

Øjenåbneren var udbruddet af Downadup-ormen, der også er kendt som Conficker. Orme-angrebet er blevet det mest voldsomme udbrud i mange år, selvom den udnyttede en sårbarhed, der var udsendt patches til, med tydelige anvisninger om at opdatere hurtigst muligt.

»Downadup blev aktiv den 21. november, altså en måned efter at Microsoft udsendte deres patch. Der var masser af tid til at patche systemerne, men det var der altså alligevel nogen, der ikke fik gjort, for ellers ville malwaren aldrig have spredt sig sådan,« siger direktøren.

I Skandinavien var det mest hospitaler, der måtte melde ud, at de var blevet ramt, og her kan det være svært at patche alle maskiner, medgiver Raimund Genes.

»De har tit specielle systemer, hvor det kun er producenten, der må ændre noget på maskinen, selvom det måske kører på en Windows 98-platform,« siger han.

Et andet problem har været, at for eksempel Microsoft Software Management System i nogle tilfælde har meldt 'alt i orden', selvom ikke alle maskiner på netværket var blevet patchet korrekt, fortæller Raimund Genes.

»Det er jo også skræmmende, og det gjaldt ikke kun Microsofts løsning men også andre systemer til software management,« siger han.

Elendige passwords på admin-kontoen

Manglende opdatering er ikke den eneste observation hos virksomhederne, der har overrasket Raimund Genes.

»Vi har set eksempler på administrator-passwords, der var alt for svage, i stil med ?qwerty? eller ?12345?. Give me a break,« siger han let opgivende.

Downadup-ormen spredte sig blandt andet ved at gætte passwords, så hvis administrator-passwordet var svagt, kunne ormen hurtigt møve sig ind og få lov til at slå al antivirus og anden it-sikkerhedssoftware fra. Derefter var der frit slag for den hidsige orm.

»Jeg mener, at virksomhederne de sidste to år er blevet mere sløsede med sikkerheden, fordi der ikke rigtigt var noget om virus-udbrud i medierne,« siger den tekniske direktør.

Han nævner, at mange af de it-sikkerhedschefer, han har talt med, godt var klar over, at deres system til at udrulle nye patches ikke var optimalt. Men det var ikke muligt at få budget til at forbedre det, fordi ledelsen ikke kunne se behovet.

»Direktøren for firmaet troede, at deres systemer var blevet sikrere, måske på grund af opgradering til Vista, eller hvad ved jeg, fordi han ikke hørte om nogen problemer. Men sådan er det jo ikke,« siger Raimund Genes.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul Pedersen

Skal man være med hele tiden, så skal man jo genstarte alle sine systemer ca. en gang om ugen?

Det kunne måske tænkes at være grund til at nogle vælger at satse på at sårbarheder ikke bliver udnyttet fra dag 0 af.
Det er jo trods alt ikke gratis at have folk til at genstarte servere og pc'ere udenfor arbejdstid i så stor stil.

Administratorer tager det ikke mere seriøst end leverandøren selv gør.

  • 0
  • 0
Lars Lundin

"Det er jo trods alt ikke gratis at have folk til at genstarte servere og pc'ere udenfor arbejdstid i så stor stil."

Hvis det virkelig er en betingelse at der skal genstartes efter ethvert patch, så er det vel også i mange tilfælde at påføre systemets vedligeholder og brugere et unødigt besvær.

Ville det ikke være bedre hvis patch-programmet kun opfordrede til genstart, når det faktisk var nødvendigt?

Efter et Ubuntu-patch fortæller et ikon, når genstart er nødvendig for at aktivere et patch (typisk af kernen), og for et program som firefox er der et andet ikon, der vises når et firefox-patch kræver genstart af programmet for at blive aktiveret.

  • 0
  • 0
Jesper Knudsen

Jeg har personligt ikke oplevet det som et større problem, at patche windows maskiner. Ved at anvende gruppe politikker og WSUS kan det faktisk løses ganske simpelt.

Maskinerne downloader patches fra WSUS i løbet af dagen og patcher ved nedlukning efter arbejdstid. Det forstyrer derved ikke brugerne.

I vores opsætning skal servere stadig genstartes manuelt, men det kan nemt fikses ved at task scheduler genstarter ved f.eks kl 02:00.

Jeg bruger i omegenen af 5 min om morgen, til at checke oversigten om alle maskiner er opdateret. Jeg vil sige omkostningerne er til at overse.

(WSUS er gratis i den forstand, at det kan installeres hvis du ejer en windows server licens)

  • 0
  • 0
Poul Pedersen

Man kan sagtens sætte WSUS op med en auto-approve på alt.
Men er man virksomhed, der skal overholde politikker om at installere i test-miljø, teste og godkende patches, så er det lige pludseligt væsentligt mindre trivielt at holde sig patchet.

(for ikke at tale om patches der skal pilles manuelt af før nye kan lægges korrekt ind)

  • 0
  • 0
Log ind eller Opret konto for at kommentere