image

Honeypots voor NSA SMB-exploit elke minuut aangevallen

maandag 29 mei 2017, 12:20 door Redactie, 11 reacties

Cybercriminelen maken op grote schaal gebruik van de NSA-exploit voor een SMB-lek in Windows, zo meldt beveiligingsonderzoeker Kevin Beaumont aan de hand van eigen onderzoek. Het gaat om de EternalBlue-exploit waar ook de WannaCry-ransomware gebruik van maakt.

De exploit werd bij de NSA gestolen en in april openbaar gemaakt. Een maand eerder was de kwetsbaarheid die de aanval mogelijk maakt al door Microsoft gepatcht. Toch zijn er nog altijd kwetsbare systemen online te vinden. Beaumont wilde dan ook het gebruik van de exploit onderzoeken en besloot verschillende honeypots neer te zetten. Systemen die opzettelijk kwetsbaar zijn gemaakt en als doel hebben om te worden aangevallen. Op deze manier kunnen onderzoekers zien hoe aanvallers precies te werk gaan en deze informatie gebruiken om andere systemen te beschermen.

Beaumont had zijn systemen amper online gebracht en ze waren al gehackt via de EternalBlue-exploit. "De werkelijkheid is dat SMB-exploits die van MS17-010 gebruikmaken elke minuut een honeypot aanvallen", merkt de onderzoeker op. Hij laat weten dat we inmiddels weer terug zijn bij de Blaster-worm van tien jaar geleden. In de meeste gevallen gaat het om aanvallen door de WannaCry-ransomware. Daarnaast werden er ook "miners" waargenomen die besmette machines digitale valuta laten minen, alsmede remote access trojans (RATs) en pogingen om lateraal door het netwerk te bewegen.

In zijn voorlopige conclusie stelt Beaumont dat sommige beveiligingsleveranciers SMB-aanvallen niet goed genoeg detecteren en dat het belangrijk is dat organisaties patchen. Daarnaast waarschuwt hij voor het risico als inlichtingendiensten exploits niet goed beveiligen. "Dan zijn we allemaal minder veilig."

Reacties (11)
29-05-2017, 14:10 door [Account Verwijderd]
[Verwijderd]
29-05-2017, 14:34 door Anoniem
Door OpenXOR: Willen die domme trekpopbeheerders die hun Windows fileshare meuk direct aan het internet hangen alsjeblieft een andere baan gaan zoeken!!!

En kunnen ze dan hun projectleiders en managers die de beheerders geen tijd geven om zaken te beveiligen dan meenemen?

Simpele rekensom: Kwaliteit*kosten*opleverdatum=constant. maar het moet wel snel en goedkoop.

Omdat snel en goedkoop meetbaar zijn, is het opleveren van een POC omgeving die daarna door iedereen gebruikt wordt nu eenmaal wenselijker vanuit management, dan een productie-omgeving met patchmanagement, backups, en periodieke checks.
Betaalde licenties zelfs, beheerd door beheerders met een echt diploma. Nee, doe het maar even snel, en tussendoor, en zonder plan of planning.

Ja, er zijn systeembeheerders die lui en dom zijn. Die worden meestal projectleider of manager.
29-05-2017, 14:43 door Anoniem
Nee
29-05-2017, 15:41 door PietdeVries
Door OpenXOR: Willen die domme trekpopbeheerders die hun Windows fileshare meuk direct aan het internet hangen alsjeblieft een andere baan gaan zoeken!!!

Hier wordt toch niks gemeld over de beheerders van machines met windows-fileshare op het internet? Dit gaat over honeypots die rapporteren dat 'boefjes' druk bezig zijn de vulnerability uit te melken. Me dunkt dat een week na dato de meeste devices die kwetsbaar zijn, inmiddels hun infectie wel te pakken hebben.
29-05-2017, 15:58 door [Account Verwijderd]
[Verwijderd]
29-05-2017, 17:12 door Anoniem
Door Anoniem:
Door OpenXOR: Willen die domme trekpopbeheerders die hun Windows fileshare meuk direct aan het internet hangen alsjeblieft een andere baan gaan zoeken!!!

En kunnen ze dan hun projectleiders en managers die de beheerders geen tijd geven om zaken te beveiligen dan meenemen?

Simpele rekensom: Kwaliteit*kosten*opleverdatum=constant. maar het moet wel snel en goedkoop.

Omdat snel en goedkoop meetbaar zijn, is het opleveren van een POC omgeving die daarna door iedereen gebruikt wordt nu eenmaal wenselijker vanuit management, dan een productie-omgeving met patchmanagement, backups, en periodieke checks.
Betaalde licenties zelfs, beheerd door beheerders met een echt diploma. Nee, doe het maar even snel, en tussendoor, en zonder plan of planning.

Ja, er zijn systeembeheerders die lui en dom zijn. Die worden meestal projectleider of manager.


Als er een project leider bij zit, is het meestal enige vorm van professionaliteit waardoor er een firewall tussen de server en Internet zit.

De thuis hobbyist zijn juist het gevaarlijkst en wat voor het grootste gedeelte de fouten maakt.
29-05-2017, 17:35 door Anoniem
Btw Samba en dus Synology zijn ook een doorn in het oog => https://www.samba.org/samba/security/CVE-2017-7494.html
Mensen krijgen een mooie alles in 1 oplossing voorgeschoteld en hangen dat dan aan het internet omdat het gewoon kan.
29-05-2017, 18:17 door Anoniem
Worden ip adressen die deze exploit nu verspreiden nog actief op een zwartelijst gezet?
Dan kunnen ISPs ook actie ondernemen door hun klanten te benaderen.

Gok even dat diezelfde pc's namelijk vast ook wel spam staan te verspreiden. Maar dat is een hypothese.
29-05-2017, 20:48 door Anoniem
"Beaumont had zijn systemen amper online gebracht en ze waren al gehackt via de EternalBlue-exploit."

Hoe kan dat nou??
Als ik het goed begrepen heb bestond deze vulnerability eruit dat je eerst een file moest uploaden, en daarna moest
wachten tot samba herstart werd zodat hij deze file als shared library zou meenemen.
30-05-2017, 00:22 door Anoniem
Het is voorspeld, volgens de auteur van de link, dus het gebeurt. En er komt nog meer uit de doos van Pandora, tot u gebracht door ..... vult u verder zelf maar in. 60% van alle websites staat op omvallen of is per instant te compromitteren als er lichte of enige moeite voor gedaan wordt. Hoe is dat toch zo ver kunnen komen?

SMB versie 1, Cloudbleed, Magento zwakheden, iOT pnewed, de lijst is schier eindeloos. Waarom leerde men mensen niet coderen met veiligheid als eerste oogmerk. Dat is toch een beetje dom niet. En nu zit de kat in de gordijnen en komt er voorlopig niet meer uit tot de spreekwoordelijke mest de ventilator raakt en dan nog gebeurt er noemenswaard weinig tot niets.

Waarom, omdat mensen nu eenmaal zo zijn en zo werken. Het voorstellingsvermogen loopt steeds meer terug. We hebben nog een aandachtscurve van een goudvis. Ik kom jongeren tegen die niet meer de lengte van de maanden van het jaar op hun knokkels kunnen uittellen en wij leerden dat al in de eerste klas van de basisschool. Een etmaal wat is dat, mijnheer? Hoe vaak eet je warm, jongeman, oh dat is dus 1 x per 24 uur., etmaal van eetmaal is van 24 uur.

Het wordt gevaarlijk hier aan de andere kant van mijn scherm, wacht er komt uitkomst met AI. Cleverbot biedt de antwoorden. De singulariteit zal alles oplossen. Ik vrees met grote vreze, dat dat niet zo zal zijn, althans voorlopig niet,

Blijf lachen, want leuker zal het niet worden....
30-05-2017, 07:49 door Anoniem
Door Anoniem: "Beaumont had zijn systemen amper online gebracht en ze waren al gehackt via de EternalBlue-exploit."

Hoe kan dat nou??
Als ik het goed begrepen heb bestond deze vulnerability eruit dat je eerst een file moest uploaden, en daarna moest
wachten tot samba herstart werd zodat hij deze file als shared library zou meenemen.

Je haalt SMB Windows lek van maart en SAMBA vuln van mei door elkaar. EternalBlue is voor SMB Windows
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.