Erinnern Sie sich noch an WannaCry? Die Ransomware, welche die EternalBlue Sicherheitslücke (eine Lücke im Server Message Block – SMB) ausgenutzt hat, um sich selber zu verteilen? Das Schlimmste wurde wohl durch den Sicherheitsforscher Marcus Hutchins durch das Entdecken des KillSwitches verhindert. Nichtsdestotrotz entstanden Schäden in Milliardenhöhe. Leider gibt es bereits eine neue Bedrohung, welche ein ähnliches Ausmass annehmen könnte, wenn wir nicht schnell genug reagieren. Was Sie (so schnell wie möglich) tun müssen, erfahren Sie in diesem Beitrag. Unbedingt weiterlesen!
Am 10. März hat Microsoft ein Security Advisory zu einer kritischen RCE (Remote Code Execution) Verwundbarkeit im Microsoft Server Message Block 3.1.1 (SMBv3) publiziert, nachdem ein Anbieter von Sicherheitslösungen aus Versehen einen Blogpost darüber veröffentlicht hatte. Wie schon bei EternalBlue, geht man auch bei dieser Sicherheitslücke davon aus, dass sie «wormable» ist. Das heisst, dass Viren die Lücke automatisiert ausnützen können, um sich selbständig weiter zu verbreiten.
WannaCry geht in die zweite Runde
Obwohl das SMB-Protokoll eine hohe Angriffsfläche bietet und nur für den internen Einsatz konzipiert wurde, gibt es aktuell ca. 48'000 Server, welche mit aktiviertem SMBv3 via Internet erreichbar und für die Schwachstelle verwundbar sind. Aber auch wenn Ihre Server nicht via TCP Port 445 vom Internet aus erreichbar sind, besteht möglicherweise eine Gefahr. Und zwar, wenn aktuelle Viren wie Emotet oder Trickbot die Lücke zur lateralen Weiterverbreitung nutzen. Es empfiehlt sich also, auch hier schnell zu handeln.
Es existiert zwar bisweilen kein bekannter Exploit Code für die Schwachstelle, jedoch existieren schon Videos, welche die Ausnützung der Lücke zumindest für DoS (Denial of Service) zeigen.
Mit diesen 4 Massnahmen können Sie sich vor einem zweiten WannaCry schützen
Sollten Sie den durch Microsoft zur Verfügung gestellten Patch auf Ihren Servern nicht sofort einspielen können, empfiehlt es sich, folgenden Workaround zu implementieren:
- Installieren Sie umgehend den von Microsoft zur Verfügung gestellten Patch!
- Stellen Sie sicher, dass Sie keine vom Internet erreichbaren SMB Server betreiben (Port TCP/445 sollte auf der Perimeter-Firewall geschlossen sein).
- Windows Clients müssen normalerweise nicht via TCP Port 445 erreichbar sein (ausser für direktes Sharing von Laufwerken und/oder Druckern). Für Windows Server gibt es einen Workaround, welcher für Clients nicht existiert. Deshalb sollten Sie den SMBv3-Dienst auf allen Clients deaktivieren oder den Port TCP/445 auf ihren Workstations für eingehende Verbindungen blockieren.
- Für Windows Server empfiehlt Microsoft, einen Workaround zu implementieren, bis ein entsprechender Patch verfügbar ist. Momentan ist noch unklar, ob dieser erst im April (Patch Tuesday) kommt oder schon früher durch ein Out-of-Band-Update verfügbar wird:
- Für Windows Server sollten Sie deshalb bis auf Weiteres die SMBv3-Kompression via PowerShell Command deaktivieren:
- Set-ItemProperty – Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression – Type DWORD – Value 1 – Force
- Set-ItemProperty – Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression – Type DWORD – Value 1 – Force
- Wenn dann der Patch verfügbar und eingespielt ist, kann die Kompression folgendermassen wieder aktiviert werden:
- Set-ItemProperty – Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression – Type DWORD – Value 0 – Force
- Set-ItemProperty – Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression – Type DWORD – Value 0 – Force
- Für Windows Server sollten Sie deshalb bis auf Weiteres die SMBv3-Kompression via PowerShell Command deaktivieren:
Testen Sie jetzt, ob Ihre Server betroffen sind
Unser Penetration Tester Luca Marcelli hat übrigens einen Scanner in Python geschrieben, mit welchem Sie testen können, ob Ihre Server potentiell verwundbar sind: