Eternal Blue – und die vermeintliche Sicherheit nach MS Windows Updates

Wannacry und EternalBlue sind gerade in aller Munde. Zu Recht; der bereits eingetretene (wirtschaftliche) Schaden ist immens. Auf der Linux-Seite braucht man sich hier übrigens nicht auf ein hohes Ross zu setzen: Heart Bleed, Shell-Shock, massive Probleme mit SSH und TLS und KEX-Algorithmen seien nur als Beispiele dafür genannt, welche Schwachstellen auch Linux-Systeme lange Zeit unerkannt aufwiesen. Niemand weiß, wie lange die vor ihrer Behebung von wem ausgenutzt wurden ...

Der letzte Punkt führt zu einer Überlegung, die mir im Moment in der aufgeregten Diskussion etwas unterzugehen scheint; die meisten Zeitungsartikel zu Wannacry heben vor allem auf Angriffsvektoren ab, die bösartige E-Mail-Anhänge voraussetzen. Die SMB-Schwächen betroffener Windows-Systeme werden von vielen "fachkundigen" Journalisten lediglich als Hebel für die schnelle Verbreitung der Malware begriffen. Die Aufregung in den Zeitungsartikeln konzentriert sich deshalb vor allem auf das Thema "Erpressung" und natürlich den Funktionsausfall der betroffenen Systeme.

Dabei hat u.a. die Fa. Cisco frühzeitig und völlig zu Recht auf folgenden Punkt aufmerksam gemacht:

Eternal Blue ist ein Angriffstool, das Angreifer auch gezielt und direkt gegen verwundbare Systeme aus dem Internet heraus einsetzen können. Und zwar mit einer ganz anderen und weniger offensichtlichen Payload (Schadware) als einer Ransomware.

Ich bewahre nicht ganz zufällig ältere Sicherungskopien von Win7/8/10-Images für VMware auf. Eine solche Kopie konnte ich gestern benutzen, um ein paar Experimente mit EternalBlue und Fuzzbunch durchzuführen. Natürlich abgeschirmt von der Umwelt. Ergebnis war die praktische Bestätigung dreier plausibler Vermutungen:

  • Der Einsatz der im April publizierten Angriffstools Eternal Blue und Fuzzbunch ist bei ein wenig Erfahrung relativ einfach. Ein aktueller Umlauf von Modifikationen und neuen Angriffsvarianten ist als wahrscheinlich anzusehen.
  • Ein Angriff gegenüber Windows-Systemen, die die für Eternal Blue notwendigen Schachstellen im SMB-Protokoll aufweisen und von außen über SMB-Ports zugänglich sind, kann direkt und ohne Umwege (über Fake-Webseiten oder bösartige E-Mail-Anhänge) über das Internet geführt werden. Scan-Verfahren zur Identifizierung solcher Systeme im Internet lassen sich von bösen Zeitgenossen jederzeit anfertigen.
  • Welche Payload (Schadware, Backdoor etc.) ein Angreifer nach Kompromittierung in das Windows-System einschleust, ist relativ beliebig. In Frage kommen u.a. Meterpreter Reverse Shells.

Das Problem hat deshalb und aufgrund der beträchtlichen Zeitspanne, die seit der Veröffentlichung der Eternal-Tools vergangenen ist, eine weitaus größere Dimension, als so mancher Windows-Nutzer und Konsument von einschlägigen Zeitungsartikeln zur aktuellen Ransomeware-Welle meinen möchte.

Dass es viele direkt aus dem Internet angreifbare Systeme gab und gibt, muss nach den Ereignissen der letzten Tage nicht mehr großartig bewiesen werden. Ich selbst kenne einige kleinere Firmen, die Windows einsetzen und die über das Internet Filesharing per SMB nutzen. Worüber nun alle Verantwortlichen, die bislang anfällige Windows-Systeme betreuen, intensiv nachdenken sollten, ist das Folgende:

EternalBlue ermöglicht einem Angreifer primär den Zugang zu einem kompromittierbaren Windows-System. Der Einsatz von EternalBlue muss aber keineswegs mit der Implementierung von Ransomware verbunden sein - auch wenn sich die Presse hierauf kapriziert.

Gerade geschickte (und wirklich böse) Angreifer, die viel perfidere Ziele als eine begrenzte Gelderpressung im Sinne haben, werden über einen erfolgreichen EternalBlue-Angriff viel problematischere Tools auf den gehackten Systemen implantieren, als eine offen nach außen sichtbare Ransomware. Gerade die wirklich ernst zu nehmenden Angreifer werden sich auf dem kompromittierten Windows-System still verhalten, im Hintergrund ihre Privilegien erhöhen, Daten abziehen und sich - wiederum mit Hilfe von Eternal Blue auf andere Systeme im (Firmen-) LAN ausbreiten. Alles ohne, dass man das nach außen hin merkt. Das war ja gerade das, was die NSA vermutlich mit Eternal Blue und dem Expoit Kit "Fuzzbunch" bezweckte.

Es genügt deshalb keinesfalls, jetzt auf den Systemen, die die SMB-Schwachstellen aufweisen, mal schnell die bislang versäumten Updates einzuspielen und wegen nicht zu Tage getretener Ransomware zu meinen, dass die Welt dann wieder in bester Ordnung sei. Ist sie mitnichten .... denn die wirklich gefährlichen Angreifer haben sich ggf. unerkannt eingenistet.

Diejenigen Windows-Nutzer und Admins, bei denen die Ransomware den Angriff offensichtlich machte, sind in gewisser Weise viel besser dran als diejenigen, die auch Systeme mit den SMB-Schwachstellen hatten, exponiert waren und mittels Eternal Blue von intelligenten Hackern oder Organisationen angegriffen wurden - aber davon bislang gar nichts merkten, merken oder merken werden.

Im Bereich der Wirtschaft steht deshalb mal wieder die Bewertung der Auswirkungen potentieller und unerkannter Wirtschaftsspionage im Vergleich zu den Kosten einer umfassenden Bereinigung potentiell betroffener Systeme an. Als verantwortlicher Admin würde ich jedenfalls kritische Windows-Systeme, die die SMB-Schwachstellen aufwiesen, nach den Vorgängen der letzten Tage neu aufsetzen oder aber zumindest ihren ausgehenden Datenverkehrs feinmaschig überwachen - auch und gerade dann, wenn keine Ransomware erscheint.

Denjenigen Administratoren, die die Gefahr besser ausloten wollen, lege ich zudem einige kürzlich erschienene Veröffentlichungen im Internet zum konkreten Einsatz von EternalBlue, Fuzzbunch etc. ans Herz. Damit sind bereits ein paar Schlagworte für die Suche genannt; weitere Stichworte wären Kali, Wine, msfconsole und Empire.