Kürzlich hat unsere Leitstelle bei einem unserer Kunden auf einem Client eine bekannte Schadsoftware entdeckt. Im Rahmen der Analyse fanden wir das „EternalBlue-Exploit“ Framework. Das Framework nutzt die Schwachstelle CVE-2017-0144 in der Windows-Implementierung des SMBv1-Protokolls in älteren Versionen von Microsoft-Betriebssystemen, das für den Datei- und Druckerzugriff in lokalen Netzwerken verwendet wird.
Ein Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code per Remote auszuführen, einschließlich Malware, indem sie speziell präparierte SMB-Pakete an das System sendet.
ExternalBlue, ein alter Bekannter
EternalBlue ist ein Exploit-Toolkit, das die beschriebene Schwachstelle ausnutzt, um unautorisierten Zugriff auf Windows-Systeme zu erlangen. EternalBlue wurde bereits im Jahr 2017 von der Hackergruppe „Shadow Brokers“ veröffentlicht und später von anderen Gruppen wie NotPetya genutzt, um weltweit Schaden anzurichten. Im März 2017 wurde sie von Microsoft als kritisch eingestuft (https://nvd.nist.gov/vuln/detail/cve-2017-0144).
Der Patch für die CVE-2017-0144-Schwachstelle ist bereits verfügbar und Organisationen sollten sicherstellen, dass ihre Systeme regelmäßig aktualisiert werden. Unsere Experten haben im beschriebenen Kundenfall schnell Maßnahmen ergriffen, um weitere Schäden zu vermeiden und eine umfassende Untersuchung des betroffenen Systems durchgeführt.
Unsere Handlungsempfehlungen:
- Regelmäßige Software-Updates: Unternehmen sollten sicherstellen, dass sie regelmäßig Patches und Updates für ihre Betriebssysteme und Anwendungen einspielen, um bekannte Schwachstellen zu schließen.
- Netzwerksegmentierung: Eine wirksame Netzwerksegmentierung kann dazu beitragen, dass Schadsoftware oder Angriffe, die ein Teil des Netzwerks betreffen, sich nicht auf andere Teile des Netzwerks ausbreiten können.
- Verwendung von Antivirus- und Anti-Malware-Software: Unternehmen sollten sicherstellen, dass sie aktuelle Antivirus- und Anti-Malware-Software einsetzen und diese regelmäßig aktualisieren.
- Schulung der Mitarbeiter: Unternehmen sollten ihre Mitarbeiter regelmäßig über die Risiken von Schadsoftware und Phishing-Angriffen aufklären und sie in Best Practices für die Cybersicherheit schulen.
- Zugriffsrechte: Unternehmen sollten sicherstellen, dass jeder Mitarbeiter nur Zugriff auf die Systeme und Daten hat, die er oder sie benötigt.
- Einsatz von Firewalls und Intrusion Detection/Prevention-Systemen: Unternehmen sollten Firewalls und Intrusion Detection/Prevention-Systeme einsetzen, um unerlaubten Zugriff auf ihr Netzwerk zu erkennen oder zu verhindern.
- Regelmäßige Überprüfung und Audits: Unternehmen sollten regelmäßige Überprüfungen und Audits durchführen, um Schwachstellen zu identifizieren und ihre Sicherheitsmaßnahmen zu verbessern.
Diese Maßnahmen können dazu beitragen, dass Unternehmen sich besser gegen Schadsoftware und andere Bedrohungen durch Cyberkriminalität schützen.