Microsoft detecteert usb-worm op computers van zo'n duizend bedrijven
Microsoft heeft de afgelopen maand een usb-worm die tot ransomware-infecties kan leiden op drieduizend computers van zo'n duizend organisaties gedetecteerd. De usb-worm kan zich mede verspreiden omdat organisaties AutoRun inschakelen, een functie die vanwege beveiligingsredenen standaard in Windows voor usb-sticks staat uitgeschakeld. Dat laat Microsoft in een analyse weten.
De worm wordt Raspberry Robin genoemd en kan zich op twee manieren verspreiden. De eerste manier is het gebruik van malafide lnk-bestanden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick of hebben de naam van een usb-stickfabrikant. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd.
De tweede gebruikte methode is het gebruik van AutoRun. Via deze functionaliteit kan software op bijvoorbeeld usb-sticks automatisch worden gestart zodra het apparaat wordt aangesloten. Jaren geleden werd AutoRun op grote schaal gebruikt voor de verspreiding van malware via usb-sticks. Microsoft besloot daarop de functionaliteit te beperken, zodat die standaard niet voor usb-sticks werkt. Veel bedrijven schakelen AutoRun echter in voor usb-sticks, zo claimt Microsoft.
Eenmaal actief voegt Raspberry Robin een registersleutel toe zodat de malware bij elke start van het systeem wordt geladen. Vervolgens kan de usb-worm aanvullende malware installeren. Ook gebruiken ransomwaregroepen de toegang die Raspberry Robin biedt om vervolgens binnen de getroffen organisatie ransomware uit te rollen. Zo hebben verschillende infecties met de usb-worm geleid tot besmettingen met de beruchte Clop-ransomware. Om de dreiging tegen te gaan adviseert Microsoft om AutoRun niet voor usb-sticks en andere schijven in te schakelen en onvertrouwde en ongesigneerde processen vanaf usb-sticks te blokkeren.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Je roept een hoop werk op je af door het op die manier te doen. Een combinatie van developers die veel van binaries zullen wisselen en applicaties die in de userprofile neergezet worden (om Teams maar gewoon te noemen) maken het een draak om te beheren.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
En tegenover het werk wat je op je af roept staat een onnoemelijke hoeveelheid werk (en ellende) die je bespaart!
Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
Als je het (in mijn idee niet zo slimme) beleid hebt om executables op een networkdrive te zetten, dan kun je het UNC
pad naar die drive opnemen in de allow lijst.
Echter meestal "installeer" je software op de werkstations, dwz in Program Files of Program Files (x86) en hoef je alleen
die paden (plus Windows) in de allow te zetten en de rest in de deny.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
En tegenover het werk wat je op je af roept staat een onnoemelijke hoeveelheid werk (en ellende) die je bespaart!
Maar je kunt ook gewoon teams in de user directory toestaan, eventueel met certificaten whitelisting.
De nieuwe methode welke Microsoft nu adviseert is WDAC (Windows Defender Application Control)
Zie hier recente Ignite 2022 video met demo:
https://www.youtube.com/watch?v=gQ_mHkdriYQ
Hier Microsoft Docs:
https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/
Beheer:
Ja je moet dit beheren, maar ook monitoren, security kost inderdaad tijd en geld, maar kost mogelijk uiteindelijk meer als je niets doet.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Hoe werkt die applocker dan met network drives? Daar staat toch het belangrijkste niet op je werkstation. Als je die app store rommel blokkeert doet niet eens je foto viewer het meer. Een en al rommel dat microsoft.
De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Maar goed, als ze AutoRun nu nog inschakelen (vroeger moest je dat zelf uitschakelen) dan hebben ze dat besef waarschijnlijk niet.
Best wel vervelend om te zien dat Microsoft niets wil doen aan de fundamentele problemen in Windows en de lapmiddelen achter bepaalde licenties en abonnementen verstopt.
De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Jij hebt duidelijk geen logica gestuurd. Dan bewijs je iets als in de n en n+1 situatie, als het dan 1 keer niet goed gaat klopt je bewijs niet. Maar buiten dat, wist je waarschijnlijk ook niet dat er microsoft forums bestaan, waar legio van dit soort situaties gerapporteerd worden.
De EU moet eisen gaan stellen aan waaraan een geleverd OS moet voldoen.
Jij hebt duidelijk geen logica gestuurd. Dan bewijs je iets als in de n en n+1 situatie, als het dan 1 keer niet goed gaat klopt je bewijs niet. Maar buiten dat, wist je waarschijnlijk ook niet dat er microsoft forums bestaan, waar legio van dit soort situaties gerapporteerd worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.