Большинство пострадавших от вируса Sasser признались, что были бы в безопасности, если бы выполняли рекомендованные меры защиты
Червь использует брешь в компоненте системы защиты и аутентификации Windows, сведения о которой были обнародованы на сайте Microsoft 13 апреля. В тот же день корпорация выпустила заплаты для своих продуктов

Червь Sasser появился в самом начале мая и уже через три-четыре дня поразил сотни тысяч компьютеров в мире. Однако урон от него оказался все же не очень велик, что стало еще одним весомым аргументом в пользу продуманных стратегий защиты уязвимых мест современных ИТ-систем.

Червь использует брешь в компоненте системы защиты и аутентификации Windows, сведения о которой были обнародованы на сайте Microsoft 13 апреля. В тот же день корпорация выпустила заплаты для своих продуктов, и все последующее время ее представители, а также некоторые эксперты призывали пользователей устанавливать их как можно скорее.

Несмотря на все предупреждения, червь все же смог поразить некоторые корпоративные сети. Это обстоятельство говорит о том, что предстоит приложить еще много усилий, прежде чем пользователи научатся оперативно реагировать на сообщения об уязвимых местах. Так считает, Арт Мэньон, сотрудник центра CERT Coordination Center при Университете Карнеги-Меллона.

Большинство из пострадавших признались, что были бы в безопасности, если бы выполняли рекомендованные меры защиты, такие как выявление уязвимых мест, определение приоритетности угроз и мер защиты, использование соответствующих заплат, поддержка антивирусных средств в актуальном состоянии, блокировка неиспользуемых портов и установка межсетевых экранов на настольных ПК.

В TRW Automotive Holdings избежали нападения Sasser в основном благодаря новому программному средству для установки заплат компании BigFix, которое только недавно было установлено на 20 тыс. систем в офисах компании по всему миру. Данный инструментарий помогает выявлять уязвимые системы и автоматически устанавливать заплаты. При этом главное преимущество — скорость, с которой заплаты устанавливаются на настольных системах.

Компанию Tripos защитили от Sasser межсетевые экраны, установленные на каждой пользовательской системе. Как только в Tripos появилась информация о найденной уязвимости, ее системными администраторами были изменены установки межсетевых экранов — таким образом, чтобы заранее блокировать любые атаки.

Злоумышленники сейчас реагируют на появление новых брешей все быстрее и добиваются все большей эффективности своих вредоносных программ. Червь Blaster, с которым сейчас сопоставляют Sasser, в прошлом году появился в Internet по прошествии около месяца после того, как стало известно о той уязвимости, которую он затем использовал. В случае с Sasser все заняло меньше трех недель.

Конечно, не стоит забывать, что при установке заплаток и выполнении каких-либо обновлений в систему могут быть внесены ошибки, это может негативно сказаться на работе существующих приложений. Поэтому перед установкой новых заплат необходимо провести их тщательное тестирование. ИТ-персоналу надлежит прикладывать все усилия, чтобы исключить попадание вирусов в корпоративные сети с компьютеров мобильным и домашним пользователям. История с Sasser показала, что даже против весьма изощренных вирусов все-таки можно успешно держать оборону.


Некоторые подробности

Вирус, получивший название Sasser, распространяется через Internet, используя уязвимость в службе LSASS (Local Security Authority Subsystem Service). В операционных системах семейства Windows эта служба обеспечивает интерфейс для обслуживания систем локальной защиты, доменной аутентификации и ряда других. Вирус сканирует IP-адреса в поисках уязвимых компьютеров и, обнаружив их, проникает в систему, задействуя TCP-порты 9996 и 5554. При запуске червь регистрирует себя в системном реестре Windows.

Согласно официальной информации Microsoft, уязвимость, которую использует Sasser, является критичной для операционных систем Windows 2000 и XP. При этом для Windows 98, 98 SE и Me, которые по сравнению с Windows 2000 и XP традиционно считаются менее защищенными, обнаруженная брешь не играет существенной роли.

— Редакция Computerworld Россия