Es ist jetzt sieben Tage nach dem WannaCry Ransomware-Angriff auf Windows-Systeme her. Langsam lichten sich die Nebel und es wird deutlich, wo es im Argen lag. Hier einige Nachträge rund um dieses Thema.
Anzeige
War Windows XP der Bösewicht?
Als bekannt wurde, dass die Ransomware Systeme im Krankenhaus (britisches NHS) und Firmenrechner befiel und die SMBv1-Lücke zur Verbreitung im Netzwerk nutzte, zeigten plötzlich viele Finger auf Windows XP. Das Betriebssystem ist ja seit 2014 aus dem Support herausgefallen (nur zahlende Kunden und Windows Embedded erhielten wohl Patches).
(Quelle: MalwareBytes)
Der Schluss war naheliegend, dieses Betriebssystem als Hauptgrund für die grassierende WannaCrypt-Verbreitung zu vermuten. Und es gab natürlich den Sonderpatch von Microsoft, der wohl im Februar 2017 bereits entstand und nun freigegeben wurde. Aber wie schaut es wirklich aus, war Windows XP die Schwachstelle? Mir kam bereits Sonntag Nacht ein Tweet von Kevin Beaumont (Sicherheitsarchitekt) unter die Augen, den ich in diesem Kommentar angesprochen habe:
It's easy to say "we told you so" about running XP in 2017, but this is the first serious issue in the three years since its EOL.
— Martijn Grooten (@martijn_grooten) 13. Mai 2017
Anzeige
Ich habe es nicht weiter aufgegriffen, aber bei AskWoody gibt es diesen Kurztext The original WannaCry does NOT infect Windows XP boxes mit gleichem Tenor. In diesem Tweet gibt Kevin Beaumont an, dass Windows XP und Windows Server 2003 nicht remote infiziert werden.
Re WannaCry – it doesn't remotely infect XP or 2003. https://t.co/QUmUPifJXU
— Kevin Beaumont (@GossiTheDog) 19. Mai 2017
Und es gibt einen Tweet zum WannaCry XP-Key-Extraktor von ihm.
Just with regards to the WannaCry XP key extractor – fun research, but WannaCry doesn't spread remotely to XP so use case limited.
— Kevin Beaumont (@GossiTheDog) 18. Mai 2017
Die Aussagen beziehen sich immer noch auf die SMBv1-Lücke, was man im Hinterkopf behalten sollte. Denn ein paar Windows XP-Systeme wurde infiziert (möglicherweise per Phishing-Angriff).
Daten von Kaspersky: Windows 7 ist 'Spitze'
Aktuell hat Sicherheitsspezialist Kaspersky wohl eine Analyse herausgegeben, welches die Verteilung der WannaCrypt-Infektionen nach Betriebssystemen aufschlüsselt (the Verge hat es hier zitiert – und es gab schon einen Blog-Kommentar dazu – danke an Thorky).
#WannaCry infection distribution by the Windows version. Worst hit – Windows 7 x64. The Windows XP count is insignificant. pic.twitter.com/5GhORWPQij
— Costin Raiu (@craiu) 19. Mai 2017
Windows XP kommt in obiger Grafik nicht signifikant vor – was die These aus obigen Abschnitten stützen kann. Der Hauptanteil der Infektionen (ca. 98%, wenn man beide Balken addiert) wurde wohl bei 64-Bit-Windows 7-Business-Systemen verursacht. Windows 7 Home, im Privatanwenderbereich oder in kleinen Firmen im Einsatz, kommt nur auf 2,61%, die Windows Server 2008 R2-Varianten liegen unter einem % und Windows 10 (x64) dümpelt bei 0,03 %.
Dort stand aber seit März 2017 ein Patch zur Verfügung, so dass die Infektionen wohl ungepatchte Systeme betrafen. Man könnte sich möglicherweise die Frage stellen, ob die Update-Strategie, die seit November 2016 von Microsoft mit den Rollups gefahren wird, da ggf. zu beigetragen hat? Ich weiß es nicht wirklich.
Noch kein Ende der Infektionen …
An dieser Stelle noch zwei kurze Informationen: Es hieß zwar letztes Wochenende, dass ein Sicherheitsexperte durch die Registrierung einer Domain eine Art Kill-Switch aktivierte, die die automatische Verbreitung von WannaCrypt über dessen Wurm-Komponente per SMBv1-Lücke unterbindet. Denn die Wurm-Komponente prüft, ob die hardcodierte Domain erreichbar ist und stellt die Verbreitung ein. Birgt natürlich mächtiges Potential, dass dieser Kill-Switch ausgehebelt wird.
- Die Urheber der Ransomware könnten jederzeit eine modifizierte Fassung freilassen, die andere Domains oder einen neuen Mechanismus als Kill-Switch verwendet oder auf den Switch verzichtet. Bisherige Varianten scheinen mehr oder weniger von Drittbrettfahrern gepatchte Ausgaben zu sein, wo die Domain im Hexcode geändert wurde.
- Scheinbar haben Sicherheitslösungen, die auf den Clients installiert waren, den Zugriff auf die Domain der Ransomware blockiert. Dadurch sprang die Infektionskette in einigen Netzwerken wieder an.
- Wired berichtet hier, dass Hacker über ein Mirai-Botnetz DDoS-Angriffe auf die Sinkhole-Domain fahren (20 GB/s Traffic). Das Kalkül: Wenn der dahinter steckender Server in die Knie geht, können die befallenen Windows-Clients die Domain nicht erreichen. Ergo beginnt sich die Infektionskette erneut auszubreiten.
Today's Sinkhole DDoS Attack pic.twitter.com/wxT2YUrdOF
— MalwareTech (@MalwareTechBlog) 18. Mai 2017
Der DDoS-Angriff scheint aus Spaß an der Freud zu laufen. Offenbar wollen einige Leute sehen, wie die Infektionswelle weiter geht.
Bei Bleeping Computer berichtet dieser Artikel, dass auch medizinische Geräte durch die WannaCry-Ransomware befallen werden. Nachdem ich den Forbes-Artikel überflogen habe, liegt der Schluss nahe, dass die Aussage 'Medizingeräte befallen' nicht wirklich zielführend ist. Die Bayer MedRad-Geräte sind wohl Rechner mit Windows, die für die Auswertung von MRT-Scans verwendet werden. Hier muss der Hersteller die betreffenden Updates freigeben und die IT-Abteilung der Krankenhäuser oder die Techniker des Herstellers müssen diese installieren.
Neuer SMB-Wurm verwendet 7 NSA-Exploits
Beunruhigender ist die zweite Meldung bei Bleeping Computer, dass ein neuer SMB-Wurm in den inzwischen aufgestellten Honeypots entdeckt wurde, der auf SMB-Schwachstellen abstellt. Während WannaCry zwei Schwachstellen aus dem NSA-Arsenal ausnutzt, soll der neue SMB-Wurm '7 NSA-Tools' zur Verbreitung nutzen. Man gibt folgende NSA-Tools an:
- ETERNALBLUE,
- ETERNALCHAMPION,
- ETERNALROMANCE,
- ETERNALSYNERGY
die SMB-Exploits zum Eindringen in ein System verwenden. Dann kommen die NSA-Tools SMBTOUCH und ARCHITOUCH für SMB-Operationen zum Einsatz. Hat sich die Schadsoftware auf dem Rechner eingenistet, kommt DOUBLEPULSAR zur Suche und Verbreitung auf anderen Rechnern im Netzwerk zum Einsatz. Der EXTERNALROCKS genannte Wurm ist recht komplex (aktuell) aber wohl weniger gefährlich als WannaCry, schreibt Bleeping Computer. Die zweite Stufe zur Verbreitung zündet (aktuell) erst nach 24 Stunden – möglicherweise, um eine Entdeckung in einer Sandbox zu verhindern. Die verwendeten Techniken und der fehlende Kill-Switch bieten jedoch das Potential, dass der Autor der Schadsoftware diese jederzeit 'scharf machen' und mit einer Malware-Komponente versehen könnte.
Irgendwo habe ich die Tage gelesen, dass die Autoren von WannaCrypt als nicht wirklich erfahren im Geschäft klassifiziert wurden. Ob die kolportierte Spur nach Nord-Korea trägt, ist unklar. Was man aber wohl annehmen kann: Die Büchse der Pandora ist geöffnet und es ist nicht der letzte Ransomware-Fall, der die Welt in Atem halten wird.
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
WannaCrypt-Zwischenruf: Wir müssen reden …
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
Auch Geldautomaten sollen mit Windows 10 laufen …
WannaCry: Die Lage am Montag
Wannycry: WCry-Decryptor für Windows XP
WannaCry: Decrypting mit WanaKiwi auch für Windows 7
Anzeige
Die immer noch hohe Verbreitung von XP hat den Vorteil, dass Hersteller von AV-Sofware auch noch jahrelang dafür Support leisten müssen, weil sie sich das Geschäft nicht entgehen lassen können. MS lässt ja alles fallen, wenn der Gong ertönt ist und fängt erst hinterher an zu überlegen, was für Folgen das hat und steht regelmäßig vor einem Scherbenhaufen.
Eigentlich logisch, dass Windows 7 hier an der Spitze liegt. Die Verbreitung ist einfach viel höher als bei Windows XP. Und da man überall lesen kann, dass Updates böse sind, gibt es eben auch viel zu viele ungepatchte Windows 7 Systeme. Bei Windows 10 ist es sehr viel schwieriger sich den Updates komplett zu entziehen.
Deshalb liegt eben Windows 7 an der Spitze.
…und bei Windows 7 macht Microsoft echte Sterbehilfe. Wer ein Patch will, muss warten, warten, warten, warten bis er oder sein System verstorben ist…
…und wer tatsächlich mit Expertenhilfe mal was früher sieht, blickt nicht mehr durch, ob es risikofrei ist, das KB… wirklich zu installieren…
Frage mich, ob es möglich ist, dass ein PC mit Win10 Pro, der seit einigen Wochen nicht mehr am Netz war, gefährdet ist, wenn man ihn jetzt einschalten würde. Wie lange genau er nicht in Betrieb war, konnte ich nicht ermitteln.