zurück zur Übersicht

WannaCry, NSA-Exploits und das Märchen von SMBv1

Das Protoköllchen und die sieben Hacker

Es war einmal… da begab sich ein gewisser Herr Barry Feigenbaum an die Entwicklung eines Netzwerkprotokolls für Datei- Druck- und andere Serverdienste in Rechnernetzen. Im Laufe der Jahre wuchs das Projekt heran und gedieh. So wurde es frohen Mutes zum gängigen Protokoll für Betriebssysteme und Netzwerkanwendungen wie Samba. Doch leider führten nicht alle, die etwas von dem Protokoll verstanden, ausschließlich edles im Schilde. Und so begab es sich im Jahre 2017, dass ein altes Protokoll mit mäßiger Sicherheit für den größten Ransomware-Befall der Geschichte verantwortlich war…

Und so geht nun nach einigen Wochen des Hypes langsam aber sicher die Berichterstattung um WannaCry und den EternalBlue Exploit zurück. Land auf Land ab berichteten die digitalen Bänkelsänger über die schändliche Kombination aus einer mäßig gut geschriebenen Ransomware und einem von professionellen Hackerteam(s) entwickelten NSA-Exploit, mutmaßlich jahrelang unentdeckt, von digitalen Aktivisten entwendet und in gerechtem Zorn ins Netz geleakt. Eine weitere Schauergeschichte, die man der aktuellen Generation kleiner Digital Natives abends am Bett erzählen kann.

Die Idee hinter WannaCry ist teuflisch genial: Eine Ransomware die befallene Rechner verschlüsselt und sich selbst ohne Nutzerinteraktion weiterverbreitet, um größtmöglichen Profit zu erwirtschaften. Klingt ein wenig wie ein Netzwerk-Wurm aus den früheren 2000er Jahren (als Unholde wie Blaster, Slammer oder Conficker das Netz unsicher machten). „Moment!“- werden Sie als aufmerksamer Leser vermutlich nun denken: „Haben wir dabei denn nichts gelernt?“. Als Erzähler setze ich ein wissendes Gesicht auf und antworte: „Irgendwie schon. Aber so einfach ist das nicht.“

Die drei goldenen Haare des Protokolls

Die rasante Verbreitung von WannaCry über den EternalBlue Exploit, also über eine Schwachstelle im SMB Protokoll Version 1  (nicht wie ursprünglich angenommen über E-Mail), hat wieder einmal gezeigt, dass ein umfassendes Vulnerability Management fester Bestandteil einer jeden effektiven, mehrstufigen Security Strategie sein muss. Microsoft selbst hat bereits im November des Jahres 2016 in einem Technet-Blog auf die längst bekannte Unsicherheit des SMBv1 Protokolls hingewiesen.

Tatsächlich gibt es kaum noch Argumente für den Einsatz des 1983 vorgestellten Protokolls und SMBv1 in Unternehmen. Im Endeffekt laufen sie auf drei mögliche Gründe hinaus:

  1. Windows XP oder Server 2003 werden mit einem Custom Support Agreement weiterhin eingesetzt
  2. Im Unternehmen wird eine stark veraltete Management Software eingesetzt, die für ihre volle Funktionalität die sogenannte „Network Neighborhood“ Masterbrowser Liste nutzen muss
  3. Es werden sehr alte Multifunktionsdrucker mit antiquierter Firmware eingesetzt, die beispielswiese die Freigaben scannen müssen

Wie Gespenster treiben diese drei Schatten aus der Vergangenheit ihr Unwesen. Langsam würde es Zeit werden, die Spinnweben zu entfernen. Seien wir ehrlich: keiner der drei genannten Gründe ist ein besonders stichhaltiges Argument für den Einsatz des veralteten SMBv1 Standards. Daher kann auch unser Rat nur folgender sein: Weg mit dem alten Krempel und Platz für sicherere Protokolle, wie SMBv2 oder besser SMBv3 mit Ende-zu-Ende-Verschlüsselung machen.

Ebenfalls dürfte sicher auch Platz für die Frage sein, wie lange die NSA denn schlussendlich von der Existenz der Schwachstelle gewusst hat und wie lange sie tatsächlich ausgenutzt wurde. Auch eine detailliertere Analyse der veröffentlichten Daten der Hacker Gruppe „The Shadow Brokers“ lässt leider keinen Rückschluss auf ein genauer einzugrenzendes Datum zu. Das SMB Protokoll in der Version 1 ist seit Windows 2000 fester Bestandteil eines jeden Microsoft Betriebssystems. Die Server-Editionen mitgerechnet wurde die Schwachstelle also über 11 Versionen des Betriebssystems, über 17 Jahre hinweg mitgeschleppt. Exploits müssen schließlich abwärtskompatibel sein. Wie gut, dass der Softwaregigant aus Redmont großzügig bereit war, auch alte Versionen zu patchen.

„Die Rüstung ist ja total verrostet!“ freute sich der Drachen.

Abschließend zu unserem kleinen Exkurs in das Thema antiquierter Protokolle und möglicher Sicherheitsrisiken möchte ich gerne noch über einen Punkt aus eigener Erfahrung berichten. Denn oft ziehen die edlen Ritter nicht nur mit löchriger Rüstung hinaus in die Welt. In den meisten Fällen wissen sie es sogar nicht mal. Denn im Vulnerability Management Prozess fehlt leider oft schon der erste Schritt – genaue und aktuelle Informationen über alle IT-Systeme zu bekommen. Nur wer seine Systemlandschaft überblickt kann auch entsprechende Schwachstellen finden, um sie zu schließen oder zumindest im Auge zu behalten. Man sollte also rechtzeitig beginnen, Licht in den Bereich zu bringen, der aus guten Gründen als „Schatten IT“ bezeichnet wird.

Sogenannte Vulnerability Scanner, aber auch Techniken wie statische und dynamische Analyse, die Anwendungen überprüfen, suchen nach Sicherheitsrisiken. Dabei werden Schwachstellen aufgespürt und zwar unabhängig davon, ob es sich um einen Bug, einen fehlenden Patch, eine Designschwäche oder ein Konfigurationsproblem handelt. Durch Tools zum Patch Management können zumindest bekannte Sicherheitslücken schnell behoben werden. Netzwerküberwachung und Next Generation Firewalls erlauben es, Lücken einigermaßen abzusichern oder zumindest zu überwachen, die man aus dem einen oder anderen Grund wenigstens vorübergehend in Kauf nehmen muss. Es gibt stark automatisierte Lösungen für diese Aufgaben. Man müsste sie nur nutzen. Mehr Informationen zum Thema Vulnerability Management finden Sie z.B. hier.

„Glücklich bis ans Ende aller Tage“ wird es leider in der IT-Security nicht geben. Damit dennoch in Zukunft die meisten IT-Märchen ein gutes Ende nehmen und ein so großer Ransomware-Ausbruch wie WannaCry trotz immer neuer Sicherheitslücken und Exploits der NSA nicht zu Ihrem Problem wird, ist jetzt ein guter Zeitpunkt, sich professionell über Themen wie Vulnerability Management, Code Analysis oder Patch Management beraten zu lassen.

Man muss schließlich nicht jeden Apfel, der von dubiosen Gestalten herumgereicht wird, auch essen.

 


 

Quellen:

https://nakedsecurity.sophos.com/2017/05/17/wannacry-the-ransomware-worm-that-didnt-arrive-on-a-phishing-hook/

https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

Beratung finden Sie z.B. hier:

https://www.it-cube.net/de/it-security-portfolio/managed-security-services/application-security/

 

Schreibe einen Kommentar