SIKKERHET

Skadevaren som delvis har slått ut Baltimore, er basert på superkraftig NSA-verktøy

Sikkerhetsfiksene ble utgitt for mer enn to år siden.

Det var NSA som i sin tid utviklet, og mistet kontrollen over, EternalBlue.
Det var NSA som i sin tid utviklet, og mistet kontrollen over, EternalBlue. Montasje: Colourbox, digi.no
Harald BrombachHarald BrombachNyhetsleder
27. mai 2019 - 14:16

Som digi.no skrev i forrige uke, sliter den amerikanske byen fortsatt med store ettervirkninger to uker etter at myndighetene i byen ble rammet av et omfattende angrep basert på utpressingsvare. Mange tusen datamaskiner og mange IT-baserte tjenester er ute av drift, og det fryktes at det kan ta måneder før alt er oppe og kjører igjen. 

Nok en gang: EternalBlue

Selve utpressingsvaren skal er kjent som RobbinHood. Dette verktøyet stopper en mengde tjenester på Windows-baserte datamaskiner, før det går i gang med å kryptere filene.

Det har til nå vært relativt uklart hvordan utpressingsvaren har spredt seg fra maskin til maskin, men nå skriver New York Times at dette gjøres ved å utnytte EternalBlue, det NSA-utviklede angrepsverktøyet som også var hovedårsaken til at skadevare som WannaCry og NotPetya kunne spre seg så mye og raskt. 

Som kjent så utnytter EternalBlue en sårbarhet i den gamle SMB v1-protokollen (Server Message Block). Denne protokollen brukes primært til deling av filområder og skrivere i lokale Windows-nettverk, men søketjenesten Shodan avslører at minst en million Windows-datamaskiner eksponerer SMB-tjenesten mot internett. 

Les mer: Mer enn en million Windows-servere eksponerer SMB-porten på internett (Digi ekstra)

Sikkerhetsoppdateringene kom våren 2017

Windows har støttet versjon 2 av SMB siden Windows Vista, så det med mindre virksomheten har veldig gammelt IT-utstyr, er det ikke behov for å ha støtten for versjon 1 aktivert. Microsoft beskriver på denne siden flere ulike metoder for å sjekke om SMB v1 (også kalt CIFS) er aktivert og hvordan støtten kan skrus av.

Sårbarheten som EternalBlue utnytter, ble fjernet fra nyere Windows-versjoner i mars 2017. I mai kom Microsoft også med fritt tilgjengelige sikkerhetsfikser til Windows XP.

I utgangspunktet burde derfor alle Windows-systemer fra 2001 og fram til i dag være immune mot spredningsmekanismen som EternalBlue tilbyr. Men som angrepene med WannaCry, NotPetya og en rekke andre skadevarefamilier stadig demonstrerer, er dette ikke slik i virkeligheten.

Les også: For NSA var EternalBlue-verktøyet som å fiske med dynamitt

Økende angrep

Mange virksomheter unnlater tilsynelatende å installere selv kritiske sikkerhetsoppdateringer. I tillegg er det mange som har store mangler i selv de mest elementære sikkerhetsløsningene, slik som at brannmuren lar SMB være eksponert direkte på internett, uten bruk av for eksempel VPN. Slike tiltak er verken kostbare eller vanskelig å få til, men det krever visse kunnskaper og ikke minst tid. 

Ifølge både New York Times og Ars Technica er det hundretusenvis av offentlig eide datamaskiner i USA som både er sårbare for EternalBlue og som er eksponert på internett. 

Disse og andre sårbare maskiner verden over gjør at antallet forsøk på å utføre angrep ved hjelp av EternalBlue er langt høyere nå enn da WannaCry- og NotPetya rammet som verst, ifølge en fersk rapport fra IT-sikkerhetsselskapet Eset

Til New York Times sier ikke navngitte sikkerhetsspesialister at de ser at EternalBlue brukes i angrep nesten hver eneste dag. 

Byen Baltimore er for øvrig ikke den eneste amerikanske byen som har blitt rammet av utpressingsvare i det siste. Allentown i Pennsylvania, Lynn i Massachusetts, Cartersville i Georgia, San Antonio i Texas og Greenville i North Carolina er andre eksempler. Greenville ble i april rammet av samme skadevare som har slått ut systemene i Baltimore. 

Har du lest denne: – Skrinla oppgradering av IT-sikkerheten hos Mærsk fordi det ikke ga lederne økt bonus

Del

Kommentarsystemet er deaktivert

Kommentarsystemet leveres av en ekstern leverandør, og kan ikke lastes inn uten at informasjonskapslene er aktivert. Endre dine Personvern/cookies innstillinger for å aktivere kommentering.