News

So ermitteln Sie schnell IT-Assets, die für die Ransomware WannaCry und den ETERNALBLUE-Exploit anfällig sind

Gepostet von Jimmy Graham in Security Labs am 12. Mai 2017, 17:29 Uhr

Eine Ransomware-Attacke – vermutlich der erste öffentliche Angriff auf Basis eines NSA-Exploits aus dem Shadow Brokers-Dump vom April – hat weltweit IT-Systeme lahmgelegt und den Betrieb in großen Unternehmen und Einrichtungen zum Erliegen gebracht. Dazu zählt unter anderem die Patientenversorgung in großen britischen Krankenhäusern.

Rund 80.000 Infektionen in ca. 100 Ländern wurden gemeldet, und der Angriff, bei dem die Ransomware WannaCry (WanaCrypt0r 2.0) verteilt wird, breitet sich immer noch weiter aus.

Die schnelle Ausnutzung neuer, von Staaten entwickelter Exploits zu kriminellen Zwecken und – wie hier – zur finanziellen Bereicherung bürdet den Sicherheitsteams in Unternehmen weitere Lasten auf. Sie müssen nun auch noch mit solch destruktiven, sich schnell verbreitenden Cyberangriffen fertig werden. Deshalb brauchen sie Systeme, Tools und Prozesse, um diese Angriffe schnell erkennen, priorisieren und entschärfen zu können.

Nur 28 Tage hat es gedauert, bis aus den NSA-Exploits für neu bekannt gemachte Sicherheitsanfälligkeiten (MS17-010), die die Hackergruppe Shadow Brokers veröffentlicht hat, ein voll funktionsfähiger, zerstörerischer Cyberangriff entwickelt wurde.
Unternehmen können immer noch gefährdet sein, wenn sie Schwachstellenmanagement-Programme anwenden, bei denen seltener gescannt wird – beispielsweise nur einmal monatlich –, Computer von Remote-Nutzern nicht einbezogen werden oder keine Problembebungsprozesse vorgesehen sind, die nach Bedrohungen priorisiert sind.

Ebenfalls gefährdet sind Unternehmen, in denen „End of life“-Systeme (EOL) im Einsatz sind, die von ihrem Hersteller nicht mehr unterstützt werden, sodass Schwachstellen offen bleiben. Wenn diese Systeme schon nicht gepatcht werden können, sollten die Unternehmen zumindest anfällige Dienste deaktivieren, die nicht verwendet werden.

Anfälligkeiten ermitteln und die Problembehebung verfolgen

WannaCry nutzt die Sicherheitslücke ETERNALBLUE aus. Das Qualys Vulnerability Team hat den Shadow Brokers-Dump analysiert und stellt den Abonnenten des Dienstes Qualys ThreatPROTECT diese Analyse zur Verfügung (siehe nachstehende Abbildung). Durch Priorisierung von Bedrohungen, kombiniert mit kontinuierlichem Schwachstellenmanagement für On-Premises-Systeme, Cloud-Instanzen und Endpunkte entfernter Benutzer, erhalten Unternehmen einen vollständigen Überblick über die betroffenen Assets. So können sie die Probleme zügig und präzise beheben.

Unternehmen, die Qualys-Scanner oder Qualys Cloud-Agenten verwenden, können ihre Systeme mit den QIDs 91345 und 91360 (ETERNALBLUE) sowie 91361, 91359, 91357, 53007, 87284 auf das Vorhandensein dieser Sicherheitslücken überprüfen. Mithilfe von ThreatPROTECT können sie bei der Problembehebung Prioritäten setzen und sich auf die betroffenen Assets konzentrieren. Zudem können die Kunden den Fortschritt der Problembehebung mit einem AssetView Trend Widget verfolgen, wie nachstehend gezeigt. Dabei werden sämtliche IT-Assets abgedeckt, über alle On-Premises-Systeme, Cloud-Instanzen und Nutzer-Endgeräte hinweg.

WannaCry entschärfen

  • Spielen Sie die Patches für MS17-010 (ETERNALBLUE und DOUBLEPULSAR) ein
  • Erstellen Sie einen benannten Mutex „MsWinZonesCacheCounterMutexA“ (ref:https://twitter.com/gN3mes1s/status/863149075159543808)
  • Filtern Sie alle SMB (TCP/445), NetBIOS (TCP/139) und RDP (TCP/3389)

Kompromittierte Assets finden

Mit der QID 1029 WannaCrypt Ransomware Detected, nach der mit einem AssetView-Widget gesucht werden kann, hilft Ihnen Qualys, Assets zu ermitteln, die bereits mit dieser Malware infiziert sind. Wenn ein kompromittiertes System gefunden wird, kann Continuous Monitoring eine Benachrichtigung versenden.

Wenn Sie anfangen möchten, kritische Schwachstellen zu finden und Ihr Unternehmen davor zu schützen, registrieren Sie sich für ein Probe-Abonnement der Qualys Suite. Es enthält alle Funktionen, die in diesem Artikel beschrieben sind.

Zurück