1. Tämä sivusto käyttää keksejä (cookie). Jatkamalla sivuston käyttämistä hyväksyt keksien käyttämisen. Lue lisää.

MS RPCSS Attack

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi 1pertti 03.08.2009.

  1. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,179
    Kiitokset:
    1,225
    Pisteet:
    243
    Loman aikana tuli päivittäin useita ilmoituksia, että Norton oli estänyt tunkeutujan MS RPCSS Attack. Ihmettelin, mikä tällaisen korkeariskisten tunkeutumisyritysten tulvan aiheutti, mutta tieto, että tunkeutumiset oli estetty rauhoitti. Silti pohdin, oliko läppärini jotenkin tullut aiempaa haavoittuvammaksi.

    Nuo hälytykset tulivat, kun olin netissä modeemin tai avoimen WiFi-verkon kautta. Kun kotiin palattuani yhdistin läppärin taas kaapelimodeemin kautta verkkoon, noita korkean riskin hyökkäysilmoituksia ei enää ole tullut. Mikä niitä houkutteli maalla, vai onko Welholla joku perusturva, joka estää esimerkiksi kyseisen tunkeutujan pääsyn kaapeliverkkoon?
     
  2.  
  3. Gocom

    Gocom Active member

    Liittynyt:
    24.02.2006
    Viestejä:
    1,115
    Kiitokset:
    0
    Pisteet:
    66
    Eh? Houkuttelisi maalla? Ehm. Ei sitä hyökkääjää, eli luultavammin ihan vain bottia/scriptkidiä, kiinnosta missä olet. Ihan vain randomi isku se on, eikä siinä ole mitään "houkuttelijaa".

    On myös todennäköistä että Nortonisi on todennut ns. False positiven, eli mitään ei oikeasti ollut tapahtumassa.

    Itsessään MS RPCSS Attack kohdistuu vanhojen Windowsien RPC -palveluun, jonka kautta on kohtuu helppo hyökätä arvaamattoman koneelle. Oletuksenahan mikä tahansa Windows XP/2000/2003 asennus on epäturvallinen, jos tiettyjä töitä ei tehdä turvallisuuden eteen.

    Hyökkäyksen avulla on tarkoitus saada RPC DCOM -palvelu kaatumaan, ja vuotamaan muistiin, jolloin kyseinen tietokone jumittuu täysin. Tai siis periaatteessa se vain reboottaa.

    Kyseiseltä hyökkäykseltä voi välttyä tilaanteessa-kuin-tilanteessa:

    - Sulkemalla RPC -palvelut jos niitä ei tarvita.
    - Hankkimalla uudemman Windowsin. Vanhassa pitäytyminen itsessään on jo tietoturvariski.
    - Päivittämällä SP:t ja tietoturvapäivitykset.

    Kohdallasi joko täyttyy se ettet ole päivittänyt käyttöjärjestelmääsi tai Norton on tehnyt false positiven. Tai sitten suoraansanottuna käytät aivan liian vanhaa Windowsia.
     
    Viimeksi muokattu: 06.08.2009
  4. 1pertti

    1pertti Senior member

    Liittynyt:
    10.09.2008
    Viestejä:
    9,179
    Kiitokset:
    1,225
    Pisteet:
    243
    Koneessani on Windows XP Pro SP3 muuten ajantasalle päivitettynä, mutta selain on edelleen IE 7. Mistään "aivan vanhasta" kokoonpanosta ei siis ole kyse.

    Jos taas kysessä on Nortonin false positive, niin edelleen ihmetyttää, miksi kyseisiä hälytyksiä tuli maalla joka päivä monta kertaa, mutta täällä vakiyhteydellä ei ollenkaan.
     
  5. Gocom

    Gocom Active member

    Liittynyt:
    24.02.2006
    Viestejä:
    1,115
    Kiitokset:
    0
    Pisteet:
    66
    Eri IP, luultavammin eri asetukset boxissa. Random isku. Jos OS on patchatty tuolta, eikä se kaatunut, niin silloin Norton tekee "false positivea / estoa / turhaa estoa" eikä siitä tarvitse välittää.

    Jos jotain olisi tapahtunut, sitten olisi. Hyvä ettei tapahtunut. Ja hyvä ettei Norton heittänyt veivejä.

    Tuo hyökkäys ei myöskään avaa suoranaista aukkoa mihinkään, eikä sen kautta tulisi pystyä ajamaan kolmannenosapuolen koodia. Sen tulisi vain olla käyttiksen kaatava isku. XP:ssä on/ollut huomattavasti pahempiakin aukkoja.

    Selain ei liity mitenkään tuohon. Selain on vain yksi ohjelma monen joukossa, ja vain pieni osa tietoturvaa uhkavista tapahtumista tapahtuu selaimen kautta.
     
    Viimeksi muokattu: 06.08.2009

Jaa tämä sivu