image

"Eerste ransomware ontdekt die Windows XP via smb infecteert"

vrijdag 6 juli 2018, 16:38 door Redactie, 15 reacties

Er is een nieuwe variant van de GandCrab-ransomware ontdekt die Windows XP-systemen via smb kan infecteren, waarmee het de eerste ransomware is die dit kan, zo stelt beveiligingsonderzoeker Kevin Beaumont. Oorspronkelijk werd de ransomware via e-mailbijlagen en besmette advertenties verspreid.

De nieuwste variant maakt echter ook gebruik van een smb-exploit om systemen te infecteren. Het gaat zowel om oudere Windows-versies als Windows XP en Server 2003, als nieuwere edities. De exploit maakt hiervoor gebruik van een kwetsbaarheid die ook door de WannaCry-ransomware werd gebruikt en vorig jaar maart door Microsoft werd gepatcht.

Hoewel WannaCry en Windows XP vaak samen werden genoemd werkte de exploit van WannaCry niet standaard tegen Windows XP-computers. De meeste machines die WannaCry infecteerde draaiden op Windows 7. De exploit waar GandCrab over beschikt werkt wel tegen XP. Daarmee is het de eerste ransomware die Windows XP-systemen op een wormachtige manier kan besmetten, aldus Beaumont.

Volgens de onderzoeker worden meestal organisaties met een slechte beveiliging door de ransomware getroffen en kan de meeste anti-virussoftware het vrij snel detecteren. Nu de ransomware ook legacy-systemen zoals XP en Server 2003 kan besmetten kunnen ook oudere omgevingen risico lopen waar bijvoorbeeld geen anti-virussoftware wordt gebruikt. Beheerders krijgen dan ook het advies om Microsoft Bulletin MS17–010 te installeren, aangezien deze update bescherming tegen de smb-exploit biedt.

Reacties (15)
06-07-2018, 16:43 door Anoniem
XP? Welke gek gebruikt dat nog?
Geen consumenten lijkt me,..


Dus dit zal een gevalletje zijn van die stoffige bak ergens in een serverruimte die zorgt dat de aircon nog werkt?
Of betaal en andere embedded systemen?
06-07-2018, 18:03 door Anoniem
Door Anoniem: XP? Welke gek gebruikt dat nog?
Geen consumenten lijkt me,..
Ik zie ze nog wel bij thuis gebruikers staan. Maar ook bij bedrijven, daar draait zeker Windows 2003 nog regelmatig en soms ook nog Windows XP.


Dus dit zal een gevalletje zijn van die stoffige bak ergens in een serverruimte die zorgt dat de aircon nog werkt?
Of betaal en andere embedded systemen?
Vaak nog wel belangrijke systemen. Migratie duurt te lang, te complex, te duur, of gewoon niet mogelijk.
06-07-2018, 18:34 door Anoniem
Ten eerste: waarom heeft Microsoft nou speciaal Wannacry updates voor XP gemaakt.
Om ze te installeren ! ! !

Overigens had ik allang een fix voordat Wannacry kwam:

SMB loopt bij Windows XP over poort 445 en is standaard een poort die open staat.
Alle open poorten bekijken? Open bijv. een DOS-box en type: netstat -an enter.
Standaard staat poort 445 open.
Stel je gebruikt helemaal geen of bijna nooit SMB, gooi hem dan lekker dicht op de volgende wijze:

Voeg de volgende registry key toe aan het register:
key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Naam: SMBDeviceEnabled
Type: Dword
Waarde: 0

Herstart Windows XP en controleer nog eens met Netstat -an. (poort 445 zou daar niet meer genoemd moeten worden)
Nee? Geen poort 445 meer te zien?
Mooi. Opgelost. Poort 445 luistert dan niet meer en er kan dus ook niet zomaar een aanval op poort 445 worden verricht.
Iets-e-siempele.


Prima te gebruiken nog dat Windows IksPee !
Als je maar kunt inschatten waar de zwakke punten zitten.

Chao :)
06-07-2018, 19:42 door Anoniem
Door Anoniem: XP? Welke gek gebruikt dat nog?
Geen consumenten lijkt me,..


Dus dit zal een gevalletje zijn van die stoffige bak ergens in een serverruimte die zorgt dat de aircon nog werkt?
Of betaal en andere embedded systemen?
ik gebruik nog wfw311. Kan er mee lezen en schrijven.
06-07-2018, 21:32 door Anoniem
Door Anoniem: XP? Welke gek gebruikt dat nog?
Geen consumenten lijkt me,..


Dus dit zal een gevalletje zijn van die stoffige bak ergens in een serverruimte die zorgt dat de aircon nog werkt?
Of betaal en andere embedded systemen?

Het zou je verbazen hoeveel XP bakkies er nog in Zuid Oost Azie draaien. In Vietnam en Cambodja zag ik ze nog overal staan ;-) (al die oude bakken van "ons" )
07-07-2018, 00:33 door Anoniem
Door Anoniem: XP? Welke gek gebruikt dat nog?
Geen consumenten lijkt me,..

De Nederlandse overheid, die van ons belastinggeld Microsoft 4,7 miljoen euro betaalt om dat in stand te houden en te blijven ondersteunen, maar dat niet voor de burgers regelt. Het ging om zo'n 5000 PCs, dus zeg EUR 10.000 (tienduizend) per PC om Windows XP te blijven ondersteunen.
07-07-2018, 00:46 door Anoniem
Door Anoniem: 6-7-2018 - 16:43 XP? Welke gek gebruikt dat nog?

Dank U dat U mij een gek vind. Maar ik werk nog steeds van een XP pc. Hij zit wel achter een Centos servertje. Als ik de drivers voor W2k had, zou ik dat nog draaien. Een OS zoals het moet zijn, Niets meer niets minder!!! Op me flappie = Xubuntu, Mint. - Game pc = W7 (spyware 10 komt er bij mij persoonlijk niet in). - Recover pc = Ubuntu, Debian. Prive pc = W-XP, W7, Xubuntu..

Door Anoniem: 6-7-2018 - 21:32 Het zou je verbazen hoeveel XP bakkies er nog in Zuid Oost Azie draaien. In Vietnam en Cambodja zag ik ze nog overal staan ;-) (al die oude bakken van "ons" )

En nog wel dichterbij ook. Als (nu ex) ICT-er voor een welzijnsorganisatie kreeg ik regelmatig de vraag of we nog een ouwe pc in de kelder hebben staan voor één van onze cliënten. Daar gingen dan oude XP licenties op tot SP3 aangevuld, Free AV. enz...

HaSo
07-07-2018, 09:47 door Anoniem
Door Anoniem:
Stel je gebruikt helemaal geen of bijna nooit SMB, gooi hem dan lekker dicht op de volgende wijze:

Voeg de volgende registry key toe aan het register:
key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Naam: SMBDeviceEnabled
Type: Dword
Waarde: 0

Herstart Windows XP en controleer nog eens met Netstat -an. (poort 445 zou daar niet meer genoemd moeten worden)
Nee? Geen poort 445 meer te zien?
Mooi. Opgelost. Poort 445 luistert dan niet meer en er kan dus ook niet zomaar een aanval op poort 445 worden verricht.

Securing Windows NT/2000 Servers. Stefan Norberg (c) 2001

Het is best mogelijk NT servers te beveiligen. Ik beheerde een machine die jarenlang direct aan Internet gekoppeld was. Zonder firewall, met alle poorten dicht. Dat valt niet mee, maar het is wel te doen.
07-07-2018, 10:45 door [Account Verwijderd]
Door Anoniem: XP? Welke gek... etc.

..."gek"... Zucht.

Imaginair zou er Windows 7 i.p.v. XP kunnen staan, want hoewel W7 nog wordt ondersteund.....oudere versienummers werken altijd als een rode lap op bepaalde gekke stieren, behorend tot de groep van haantje de voorste schreeuwers hier.

Wat is er mis met XP als je verknocht bent aan je mooie WP (Wordperfect) 8 op de onverwoestbare stalen kantoorbak die je off line gebruikt?

Antwoord:

Helemaal niets!
07-07-2018, 21:16 door FSF-Moses
Er is niets mis met WindowsXP SP3. Ook ik werk dagelijks met Windows XP. Zolang je de boel maar zo goed mogelijk dichtspijkert en niet als een totaalidioot op allerhande links en dergelijke loopt te klikken. Voor een bepaald aantal dingen gewoon Windows7 SP1 in een dualboot-config. Werkt prima zo achter een fatsoenlijk ingestelde firewall.

Dat Spyware10 (da's een goede: die moet ik onthouden) komt er hier niet op; op geen enkele manier/wijze!
08-07-2018, 12:06 door Anoniem
Door Anoniem:
Door Anoniem: 6-7-2018 - 16:43 XP? Welke gek gebruikt dat nog?
Daar gingen dan oude XP licenties op tot SP3 aangevuld, Free AV. enz...

HaSo

Waarom die oude bakkies niet voorzien van Linux Mint of Ubuntu?
Lijkt me allezins veiliger en stabieler dan een niet ondersteund OS gebruiken.

Hoevee onbekende 0-days zal XP nog hebben?
08-07-2018, 12:40 door karma4
Door Anoniem:
De Nederlandse overheid, die van ons belastinggeld Microsoft 4,7 miljoen euro betaalt om dat in stand te houden en te blijven ondersteunen, maar dat niet voor de burgers regelt. Het ging om zo'n 5000 PCs, dus zeg EUR 10.000 (tienduizend) per PC om Windows XP te blijven ondersteunen.
Dat was uit 2014, je mag best bijblijven al lang omgezet. Het beheer en omzetten van werkplekken is niet goedkoop.
Alles moet onder controle centraal beheerd etc. Met de grote aantallen zo lang mogelijk door blijven draaien is veel goedkoper dan iets tijdeljk afkopen. Wat dacht je van BRP 100 miljoen weggegooid en dat heeft niets met windows van doen.
Etm ETPm ofwel giften en erven, zou in 2014 gestopt zijn en weten nu niet wat er voor nodig is om dat draaiend te krijgen/houden. Ooit een standaard pakket voor servers. etc. Zoek eens op informatie bij rekenkamerverslagen.
08-07-2018, 18:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: 6-7-2018 - 16:43 XP? Welke gek gebruikt dat nog?
Daar gingen dan oude XP licenties op tot SP3 aangevuld, Free AV. enz...

HaSo

Waarom die oude bakkies niet voorzien van Linux Mint of Ubuntu?
Lijkt me allezins veiliger en stabieler dan een niet ondersteund OS gebruiken.

Hoevee onbekende 0-days zal XP nog hebben?

Bijvoorbeeld hardware eisen. Wat oudere XP-hardware zal daar niet aan voldoen.
Maar ook het dan niet meer kunnen draaien van bepaalde (windows) programma's en prestatieverlies.

0-days loop je niet zomaar op. Daar gaat meestal een bepaalde (onverantwoordelijke) actie aan vooraf.
Je PC zit als het goed is achter een beschermende NAT-router.
Het is in dat geval niet zo dat er constant netwerkverkeer vanaf het grote boze internet bij je PC kan komen.
https://www.grc.com/nat/nat.htm

Pas als jij het zelf opzoekt door bijv. via internet contact te maken met onbetrouwbare websites of onbetrouwbare software installeert of start, of onbekende USB-sticks en CD/DVD's aan je PC hangt, of zomaar op links klikt in je email
kan je daar last van krijgen. Ook als je routerinstellingen beroerd zijn en gehackt zijn, dus zorg eerst dat dit in orde is.

Stel je bankiert met een "maagdelijk" XP, dan loop je niks op want de server van de bank is safe.
Stel je doet eerst onverantwoordelijke dingen met XP, en daarna ga je internetbankieren dan loop je risico omdat je PC besmet kan zijn door onverantwoordelijke dingen die je eerder met XP hebt gedaan.

Het probleem is alleen dat de meeste mensen niet goed weten wanneer ze onverantwoordelijk bezig zijn met XP.
08-07-2018, 23:50 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: 6-7-2018 - 16:43 XP? Welke gek gebruikt dat nog?
Daar gingen dan oude XP licenties op tot SP3 aangevuld, Free AV. enz...

HaSo

Waarom die oude bakkies niet voorzien van Linux Mint of Ubuntu?
Lijkt me allezins veiliger en stabieler dan een niet ondersteund OS gebruiken.

Helemaal met je eens, maar... management zei win-xp, ms-office, windows-livemail = verplicht. Dus als braaf schoothondje zei ik: woef. Reden: Mijn baas stelde eens voor om volledig over te stappen van Linux & open-xchange server. Een maand later werd zijn contract ontbonden, omdat die zogenaamd iets on-bedrijfsmatig had gedaan. Totaal f*ck verhaal, maar voor mij wel teken om wat anders te zoeken...

HaSo
09-07-2018, 07:09 door -karma4 - Bijgewerkt: 09-07-2018, 07:10
Door Anoniem: Stel je bankiert met een "maagdelijk" XP, dan loop je niks op want de server van de bank is safe.
Stel je doet eerst onverantwoordelijke dingen met XP, en daarna ga je internetbankieren dan loop je risico omdat je PC besmet kan zijn door onverantwoordelijke dingen die je eerder met XP hebt gedaan.

Het probleem is alleen dat de meeste mensen niet goed weten wanneer ze onverantwoordelijk bezig zijn met XP.

Tja, dat geldt welbeschouwd voor Microsoft Windows in het algemeen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.