Penetrationstest und WannaCry/WannaCrypt

Wie hätte ein Penetrationstest das Risiko eines Befalls durch WannaCry/WannaCrypt verringern können ?


Was ist WannaCrypt ?

Wie Sie sicherlich bereits wissen, hat eine neue Erpressersoftware (Ransomware) am Wochenende für erheblichen Schaden gesorgt, der noch immer viele Menschen beschäftigt. Der Name dieser Malware ist WannaCry bzw. WannaCrypt. Ziel ist es, einen Großteil Ihrer Datenbestände zu verschlüsseln, um ein Lösegeld fordern zu können.

Es ist nicht praktikabel, alle betroffenen Akteure hier aufzulisten, aber zu den Opfern gehören Unternehmen wie NHS, Telefonica Spanien, Renault usw.

Was war bei dieser Bedrohung neu, und warum hatte sie so eine große Wirkung ?

Zunächst wird Ransomware meistens über klassische Phishing-Angriffe übertragen (E-Mails mit bösartigen Dokumenten oder mit Links auf ausführbare Dateien) und betrifft häufig nur ein einzelnes Opfer.

Einige der aufwändigeren Malware-Produkte replizieren sich mithilfe von Domain-Anmeldedaten, um auf andere Rechner in Ihrem lokalen Netzwerk zuzugreifen.

WIm Gegensatz dazu nutzt WannaCry jedoch eine bestimmte Übertragungstechnik auf der Basis von Tools, die von der NSA entwendet und geleakt wurden. Zentraler Angriffspunkt ist dabei eine kritische Schwachstelle (von Microsoft im März 2017 gepatcht), die einen Standard-Microsoft-Dienst in den meisten Windows-Systemen betrifft: SMB über die TCP-Ports 139/445.

Aus diesem Grund sind alle Windows-Rechner, die in den vergangenen zwei Monaten nicht gepatcht wurden, einem Risiko durch WannaCry ausgesetzt und dienen wahrscheinlich als Ziel für infizierte Computer im internen Netzwerk. Es sollte auch erwähnt werden, dass der anfällige Windows-Dienst (SMB) manchmal auch über das Internet erreichbar ist, was bedeutet, dass Server durch WannaCry über das Internet auch ohne erfolgreichen Phishing-Angriff befallen werden können.

WannaCry geht wie Black-Hat-Hacker vor, indem es lokal und remote ganze Adressbereiche auf Schwachstellen untersucht, die gefundenen Schwachstellen ausnutzt und sich darüber fortpflanzt, um seine Angriffe und den Verschlüsselungsprozess fortzusetzen. Gefährlich ist vor allem die enorme Verbreitung aufgrund des vollautomatischen Prozesses, der tausende von Rechnern gleichzeitig befallen konnte.


Wie hätte der Pentest-Service von SSL247® diese Bedrohung verhindern können ?

Zum Angebot von SSL247® gehören auch Auditierungsdienste wie interne, externe und anwendungsspezifische Penetrationstests.

Interne Pentestst simulieren, was ein Einbrecher in Ihrem internen Netzwerk tun könnte. Ein solcher Einbrecher könnte sich vor Ort befinden oder – unter Ausnutzung eines kompromittierten Rechners wie bei WannaCry – auch im Internet. Eine solche Bedrohung funktioniert nur aufgrund mangelnder Segmentierung und fehlender System-Updates. Während der internen Penetrationstests werden solche Schwachstellen erkannt und erforscht, um herauszufinden, welche Wirkung ein Angreifer bzw. eine Malware in Ihrem Netzwerk haben könnte.

Externe Pentestst simulieren einen weiteren Angreifertyp, der nur über den externen Weg aus dem Internet auf Ihre Infrastruktur zugreifen kann. In diesem Fall prüft der den Test durchführende Berater genau auf das Vorhandensein von Schwachstellen, die auch WannaCry (und andere) ausgenutzt haben, um sicherzustellen, dass keiner Ihrer Server gefährdet ist.

Am Ende jeder Prüfung wird ein vollständiger Bericht erstellt und die Ergebnisse werden Ihnen in einem Gespräch präsentiert. Dies trägt dazu bei, die bestehenden Bedrohungen anhand ihrer Schwere, aber auch der Wahrscheinlichkeit eines Missbrauchs zu erkennen und zu kategorisieren. Die durch WannaCry ausgenutzte Schwachstelle wäre beispielsweise als kritisch eingestuft wurden und ihre Nutzbarkeit als „einfach“, da eine Automatisierung möglich ist.

Anhand dieser Informationen kann unser Team geeignete Patches anwenden, aber auch die Aktionen zur Fehlerbehebung priorisieren. WannaCry-Varianten sind noch immer aktiv, und gleichwertige oder noch gefährlichere Malware wird sicherlich bald auftauchen.

Sie möchten mehr über Pentests erfahren ?

Weitere Informationen erhalten Sie unter folgender Adresse: Penetration testing

Unsere akkreditierten Berater helfen Ihnen gerne unverbindlich mit weiteren Ratschlägen zu den Vorteilen von Penetrationstests für Ihr Unternehmen.

    0800 20 22 880 (London office)
   sales@ssl247.de


Autor: Loic Castel, Audit and Pentest Manager.

Teilen:

Posted on Wednesday 17 May 2017 by Léopoldine Cini

Zurück zu Blog

Schicken Sie uns Ihre Kommentare


Ihr Kommentar wird nicht veröffentlicht. Wenn Sie eine Frage haben, geben Sie auch Ihre E-Mail-Adresse an, damit wir Ihnen antworten können!