KW5: CSOC-Event der Woche – EternalBlue-SMB Schwachstelle
Durchschnittliche CSOC-Gesamtevents pro Tag: 35.648
Detektionshäufigkeit: 1
Eventbeschreibung: SMB-Schwachstelle / Kritikalität = hoch (8 / 10)
In dieser Woche berichten wir über eine SMB Schwachstelle, die mithilfe einiger Exploits ausgenutzt werden kann. Die beschriebene Schwachstelle wurde im März 2017 geschlossen, findet sich jedoch trotzdem häufig in Umgebungen mit Produktivsystemen vor.
Bei den Exploits „EternalBlue“, „EternalRomance“ sowie „EternalChampion“ handelt es sich um Exploits zum Missbrauch einer Sicherheitslücke in der SMB-Implementierung von Windows, welche mit dem Sicherheitsbulletin „MS17-010“ von Microsoft geschlossen wurde.
Ursprünglich wurde die Schwachstelle vom US-amerikanischen Geheimdienst NSA über einen Zeitraum von länger als 5 Jahren genutzt, um sich Zugang zu Systemen zu beschaffen. Kurz nach Bekanntgabe der Schwachstellen wurden die entsprechenden Exploits veröffentlicht.
In unserem Fall handelt es sich um einen Server, welcher bereits vorher entsprechend befallen war. Durch die Aufschaltung im CSOC konnte der auffällige Netzwerkverkehr erkannt werden: Detektiert werden konnte er, weil die Schadsoftware versuchte, sich auf weitere Systeme auszubreiten. Da die beschriebene Sicherheitslücke durch bereits veröffentlichte Windows Updates geschlossen wird, empfehlen wir dringend, immer die aktuellsten Sicherheitsupdates zu installieren.
Technische Beschreibung SMB Schwachstelle EternalBlue
Wie der AV-Hersteller Avira berichtet, finden sich allerdings nach wie vor mehr als 300.000 Rechner, die über ungepatchte Varianten der SMB1-Schnittstelle angreifbar sind. Die Dunkelziffer ist wahrscheinlich viel höher. Die verwundbaren Rechner werden immer wieder neu über die Lücke infiziert, obwohl Anti-Viren-Programme und auch die Trojaner immer wieder Schadcode entfernen. Da die zugrundeliegende Lücke allerdings ohne ein entsprechendes Windows-Update weiter klafft, stecken diese Geräte in einem nicht enden wollenden Infektionskreislauf fest.