Dieses Mal meldet sich das Security Monster zum Thema Ransomware. In den letzten Tagen hat eine neue Ransomware eine Welle der Zerstörung hinter sich hergezogen. Der Name „WannaCry“ bedeutet frei übersetzt „Es ist zum Heulen“.

Die WannaCry-Ransomware verbreitet sich über eine Schwachstelle im SMB-Protokoll von Windows, dem auf eigentlich allen Rechnern eingeschaltetem Dienst zur Dateifreigabe. Sobald ein Rechner in einem Netz infiziert wurde, verbreitet sich WannaCry als Wurm auf allen anderen erreichbaren und verwundbaren Windowssystemen. Dies macht diese Mischung aus Wurm und Ransomware so gefährlich, denn ist ein Rechner infiziert, dann sind es in kürzester Zeit alle.

Wie bei einer Ransomware üblich werden alle Daten auf den Systemen verschlüsselt und man erhält eine Meldung, dass man die Daten gegen Zahlung eines Lösegeldes entschlüsseln kann. Im Allgemeinen sollte man jedoch von dieser Zahlung absehen und die Daten selbst aus einem Backup wiederherstellen. (Ob man ein aktuelles Backup hat, kann man übrigens mit Server-Eye leicht überwachen.)

Betroffen waren unter anderem die Systeme des NHS (National Health Service) aus Großbritannien, die Systeme der Telefónica (O2), das russische Innenministerium und die Deutschen Bahn. Unser Partner Avira hat Meldungen über die Infektion aus über 90 Ländern erhalten.

Gerade der fast totale Ausfall der NHS System hat das Leben von Menschen in Gefahr gebracht, da wichtige medizinische Daten nicht mehr einsehbar war.

Da sich WannaCry als Wurm verbreitet, sah sich sogar Microsoft gezwungen einen Patch für das seit Jahren nicht mehr unterstützte Windows XP zu veröffentlichen. (Link ist am Ende des Artikels)

Dies ist allerdings als absolute Ausnahme zu verstehen, auch ist nicht ausgeschlossen, dass dieser Notfall-Patch Nebenwirkungen unter Windows XP auslöst. Es gilt daher wie schon in den letzten Jahren, alle Windows XP Systeme die einen Netzwerkzugriff haben sollten durch ein neueres System ersetzt werden. Die Gefahr, die durch ungepatchte System ausgeht, ist zu groß.

Updates, Updates, Updates

Damit sind wir auch schon beim größten Problem, ungepatchte Systeme. Die Verbreitung über SMB basiert auf einer Lücke, die im Microsoft Patch MS17-010 vom 14. März 2017 geschlossen wurde.  Das sind fast zwei Monate, in denen der Sicherheitspatch hätte eingespielt werden können.

Wir von Server-Eye können an dieser Stelle nur nochmals auf die absolute Wichtigkeit von Sicherheitsupdates hinweisen. Das Einspielen alle Sicherheitspatches ist ebenso wichtig wie der Einsatz einer Anti-Virus Lösung. (Einige Sicherheitsexperten halten Updates sogar für wichtiger als Anti-Virus.)

Schalten Sie deshalb die automatischen Updates ein oder nutzen Sie ein Patch Management. (z.B. das von Server-Eye https://www.server-eye.de/patch-management/)

Aktuell können wir zwar alle etwas aufatmen, da die Verbreitung durch den zufälligen Fund eines eingebauten Killswitches gestoppt wurde. Allerdings ist es nur eine Frage der Zeit bis die Autoren von WannaCry diesen Killswitch ausbauen oder ein anderer Wurm die gleiche Lücke ausnutzt.  Spielen Sie deshalb noch heute alle Sicherheitsupdates ein!

Was ist mit unserer Anti-Ransom Lösung, hätte die einen Angriff nicht verhindert?

Ja und nein. Der Angriffsvektor war wie so oft eine E-Mail mit einem angehängtem PDF. Anti-Ransom kann diesen Fall abfangen. Sobald allerdings eine Maschine im lokalen Netz befallen ist, kann sich der Wurm auf allen anderen Systemen ausbreiten und wird nicht von Anti-Ransom gestoppt. Die im Wurm genutzte Lücke in der Windows SMB Implementierung bedeutet, dass hier ein Sperren mit Anti-Ransom nicht möglich war.

Die Kombination macht’s, eine erste solide Abwehr durch Anti-Ransom und das Blockieren der internen Verbreitung durch das Einspielen der Sicherheitspatches. Wie so oft ist Sicherheit ein komplexes Thema und erfordert Wachsamkeit in alle Richtungen.

 

Mit freundlichen Grüßen,

Ihr Security Monster.

 

PS: Wenn Sie unser Patchmanagement nutzen, sehen Sie den Einzelpatch MS17-010 nicht, dieser ist im kumulativen Update vom März enthalten (CU2017-03).

PPS: Wer das Sicherheitsupdate immer noch nicht eingespielt hat sollte das umgehend tun.

Für Windows Vista, 7, 8.1 und 10 sowie Windows Server 2008, 2012 und 2016
https://support.microsoft.com/de-de/help/4013389/title

Für Windows XP, 2003 und Windows 8
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Es ist zum Heulen – Der WannaCry Ransom-Wurm
5 (100%) 1 vote[s]