Windows-Wurm WonnaCrypt

Die Erpressungs-Malware WonnaCry(pt) nutzt den SMB "EternalBlue" Bug CVE-2017-0145 in SMBv1 in Windows aus. Windows 10 hat den Bug zwar auch, aber der Exploit ist so geschrieben, so daß er nur mit Windows-Versionen vor Windows 10 funktioniert.

Über diesen Schädling haben zwar schon alle geschrieben, aber zwei wichtige Details werden bei den meisten Nachrichten falsch oder irreführend berichtet.

Abhilfe für alte Windows-Versionen

Microsoft hat den Bug in neueren Windows-Versionen im März durch ein Update behoben.

Diverse Seiten schreiben, es würde keinen Patch für alte Windows-Versionen wie z. B. XP geben und man solle ernsthaft darüber nachdenken, eine neuere Version einzusetzen. Grundsätzlich würde ich auch bei jedem System zu den neuesten Versionen raten, aber, daß es ansonsten keine Abhilfe gäbe für die alten Systeme, ist falsch. Da dort draußen noch viele Installationen von Windows XP, Windows Server 2003 und so herumgeistern, sah sich Microsoft gezwungen, seine Kunden mit diesen Systemen mit einem Patch auszuhelfen, obwohl sie offiziell nicht mehr unterstützt werden: Unter Microsoft solution available to protect additional products gibt es dazu die offiziellen Informationen und Updates.

Die schnelle automatische Verbreitung (siehe nächsten Abschnitt) der Malware wurde dadurch begünstigt, daß nicht alle Systeme auf dem aktuellen Stand waren, denn zumindest für die aktuelleren Windows-Varianten gab es rechtzeitig einen Bugfix.

Apple sorgt mit kostenlosen Betriebssystemen und funktionierenden eingebauten Update-Funktionen dafür, daß praktisch keine solche steinalten Systeme mehr im Einsatz sind.

Automatische Verbreitung über Internet

Für Windows gibt es ja immer reichlich Malware, aber einen Wurm hatten wir schon länger nicht mehr. Die meisten Seiten nennen nur die Verbreitung von WonnaCrypt über Email-Anhänge und im lokalen Netz. Tatsächlich verbreitet er sich aber auch selbständig über das Internet. In dem TechNet-Beitrag WannaCrypt ransomware worm targets out-of-date systems geht Microsoft ganz klar darauf ein: "… it also executes massive scanning on Internet IP addresses to find and infect other vulnerable computers." Das fällt durch Traffic auf TCP-Port 445 (SMB über Internet) auf.

"When it successfully infects a vulnerable computer, the malware runs kernel-level shellcode." Die Malware führt zur Infektion der Maschine Code im Kernel aus, also mit Systemrechten. Wir haben hier also, wie Microsoft richtig einsortiert, einen Internet-Wurm, der sich, wie es sich für Würmer gehört, völlig selbständig ohne Zutun des Benutzers über das Internet verbreitet und jeweils Systemrechte auf dem Opfer-Windows erlangt.

Die einschlägigen News-Seiten hingegen reden nur über die anderen beiden ungefährlicheren Verbreitungsmethoden, die WonnacCrypt ebenfalls einsetzt: Email-Anhänge und Verbreitung im lokalen Windows-Netz über die lokale SMB-Funktion. SMB über Internet ist ihnen entgangen.

Mancher mag hoffen, daß er hinter der Network Address Translation (NAT), die sein Router bei IPv4 machen muß, sicher ist, da sein SMB-Dienst nicht direkt im Netz erreichbar ist. Mit IPv6 ist NAT nicht mehr notwendig, weil genug Adressen verfügbar sind, und unterwegs mit Laptop über den eigenen Smartphone-Hotspot im Netz und dergleichen ist man möglicherweise auch direkt erreichbar.

Geheime Angriffe seit Jahren

Der diesem Angriff zugrundeliegende Bug in Windows wurde schon seit Jahren von der National Security Agency (NSA) ausgenutzt, um damit gezielt Windows-Rechner über das Netz zu kontrollieren/steuern/kompromittieren. Der NSA-Exploit dafür heißt EternalBlue und wurde im April 2017 durch eine Gruppe namens "Shadow Brokers" öffentlich verfügbar gemacht.

Dieser geleakte NSA-Exploit wurde als Kopiervorlage genommen, um WonnaCrypt zu erstellen. Der Bug wurde also zuerst lange Zeit völlig unauffällig vom Geheimdienst für gezielte Operationen verwendet und nun, nachdem die Sicherheitslücke und der passende Exploit weltweit bekannt geworden sind, durch normale kommerziell orientierte Kriminelle in voller Pracht eingesetzt.

Shadow Brokers veröffentlichte diesen und andere Bugs und Exploits, die von der NSA stammen sollen, Mitte April. Interessanterweise hatte Microsoft entsprechende Bugfixes genau einen Monat zuvor herausgegeben. Dabei nannte Microsoft keine Quellen, was ungewöhnlich ist. Es ist denkbar, daß die NSA Microsoft informierte, weil sie die Bugs und Exploits nicht länger geheim halten konnten. Microsoft hatte für diese Bugfixes sogar erstmals in seiner Geschichte seinen Patchday verschoben. Die Wahrheit ist irgendwo da draußen …

Antivirus-Software und Firewalls mal wieder schädlich

Wie man in OS X: Firewall-Nonsens und OS X: Antivirus-Nonsens und in ein paar anderen Artikeln in meinen Tech-Notes nachlesen kann, habe ich mehr als gut begründete Vorbehalte gegen solch scheinbar einfache, schnelle Abhilfe auf Knopfdruck von "Start Firewall" und "Start AV".

In diesem konkreten Fall versuchen Firewalls und AV-Software die Malware am Aufruf einer bestimmten Webseite mit komischem Namen zu hindern. Es könnte ja ein Command & Control Server sein. Dummerweise ist es jedoch so, daß keine Software der Welt eine andere Software beurteilen oder einschätzen kann. Es ist für eine Software schlicht unmöglich, wie ich in Nicht-Machbarkeit von Anti-Viren-Software erkläre, das Verhalten von anderer Software als Malware oder nicht einzustufen. Das stumpfe Blockieren führt in diesem Fall dazu, daß die WonnaCrypt-Malware ihr Treiben fortsetzt, denn wie zufällig herausgefunden wurde, stellt WonnaCrypt sowohl die Verschlüsselung der User-Daten als auch die Weiterverbreitung ein, wenn die Malware diesen Webserver erreichen kann. Findet sie den Webserver nicht, macht sie hingegen weiter: "I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental."

Valid XHTML 1.0!

Besucherzähler


Latest Update: 21. May 2017 at 09:25h (german time)
Link: macmark.de/blog/osx_blog_2017-05-a.php