Angriffswelle auf das Netzwerkprotokoll SMB zu erwarten

Von der Gruppe "Shadow Brokers" erbeutete Hacker-Tools veröffentlicht. Neue Angriffe auf Windows-Systeme über das SMB-Protokoll zu erwarten.

 

Beschreibung:

Ende letzter Woche wurden die restlichen Hacker-Tools, welche die Gruppe "Shadow Brokers" angeblich von der NSA erbeutet hat, veröffentlicht. In den letzten Tagen wurden diese, die vermutlich Mitte 2013 erstellt wurden, durch eine Reihe von Sicherheitsspezialisten analysiert.

In den Analysen wird deutlich, dass es sich hierbei um mächtige Werkzeuge handelt, mit denen zum Zeitpunkt der Erstellung praktisch alle Versionen von Microsoft Windows übernommen werden konnten. Ein paar wenige Tools adressieren auch Linux-Systeme.

Nach der jüngsten Veröffentlichung der Tools ist damit zu rechnen, dass Dritte viele der Sicherheitslücken in die eigene Malware integrieren und die Angriffe, vor allem auf das SMB-Protokoll, in den nächsten Tagen zunehmen werden. IT-Verantwortliche sollten also dringend handeln.

Die meisten Exploits betreffen nach aktuellen Analysen das Netzwerkprotokoll SMB, welches primär bei Microsoft Windows-Systemen dazu genutzt wird, Dateien und Ordner freizugeben und von anderen Systemen aus darauf zuzugreifen. Einige Exploits richten sich auch gegen RDP (Remote Desktop Protocol) zum Zugriff auf entfernte grafische Desktops sowie die Groupware IBM Lotus Notes.

Viele der Malware-Binaries wurden zum Zeitpunkt der Veröffentlichung von vielen Virenscannern nicht als schadhaft erkannt. Nach Angaben vom Sicherheitsteam von Microsoft wurden die Lücken beim letzten Patch-Day für die Versionen mit gültigem Support geschlossen. Windows XP wird beispielsweise standardmäßig nicht mehr mit Updates versorgt.


Empfehlung:

Die Analysen der Exploits zeigen, dass deren Urheber in verwendeter Software immer Sicherheitslücken finden, die ausgenutzt werden können. Dabei wird die erstellte Malware auch gegenüber gängigen Schutzsystemen wie Virenscannern solange optimiert, bis diese vorerst nicht erkannt werden, und erst dann werden sie zum Übernehmen von fremden Systemen eingesetzt.

Schutz vor solchen Angriffen der aktuellen Veröffentlichung bietet hierbei vor allem die Minimierung der Angriffsfläche und die Stärkung der Resistenz der eigenen IT-Systeme. So sollten die Zugriffe der internen Systeme mit dem Internet beispielsweise mittels SMB-Freigaben nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls diese doch notwendig sind, sollte dies nur von Systemen erfolgen, in denen permanent Sicherheitspatches eingespielt werden. Zudem sollten hierbei nur Systeme verwendet werden, die auch noch Aktualisierungen erhalten, und so beispielsweise Windows XP gar nicht mehr eingesetzt werden.

Darüber hinaus sollten auch andere Anwendungen von Sicherheitssystemen kontinuierlich beobachtet werden. Die aktuellen Veröffentlichungen zeigen, dass auch beispielsweise Lücken in RDP ausgenutzt wurden. Hier sollten ebenfalls nur unbedingt notwendige Systeme RDP-Verbindungen vom Internet aus erlaubt werden.


Erkennung mit spotuation Security Monitoring:

Anwender können mit der Lösung überprüfen, ob es Zugriffe auf ihre Systeme mittels des SMB-Protokolls oder RDP gibt oder in der Vergangenheit gab. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:

  • Haben Sie den Management-Report abonniert, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das SMB-Protokoll sowie Zugriffe von veralteten Systemen, wie Windows XP, analysiert und aufgelistet.
  • Falls Sie wöchentlich einen technischen Report erhalten, stehen die SMB-Zugriffe in der Verbindungsübersicht und die verwendeten veralteten Systeme bei den Betriebssystemen.
  • Falls Sie den Network-Compliance-Verifier aktiviert haben, können Sie im Webportal gezielt die SMB-Zugriffe sowie veraltete Systeme finden und dabei direkt die betroffenen IP-Adressen Ihrer Clients ermitteln.
  • Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten SMB-Ports sowie veralteten Betriebssystemen anzeigen lassen, ob Sie solchen Netzwerkverkehr haben.
  • Falls Sie den APT-Sensor aktiviert haben, wurden Sie bereits über möglicherweise unerwünschte RDP-Verbindungen informiert.

Zurück