Som digi.no skrev i forrige uke, sliter den amerikanske byen fortsatt med store ettervirkninger to uker etter at myndighetene i byen ble rammet av et omfattende angrep basert på utpressingsvare. Mange tusen datamaskiner og mange IT-baserte tjenester er ute av drift, og det fryktes at det kan ta måneder før alt er oppe og kjører igjen.
Nok en gang: EternalBlue
Selve utpressingsvaren skal er kjent som RobbinHood. Dette verktøyet stopper en mengde tjenester på Windows-baserte datamaskiner, før det går i gang med å kryptere filene.
Det har til nå vært relativt uklart hvordan utpressingsvaren har spredt seg fra maskin til maskin, men nå skriver New York Times at dette gjøres ved å utnytte EternalBlue, det NSA-utviklede angrepsverktøyet som også var hovedårsaken til at skadevare som WannaCry og NotPetya kunne spre seg så mye og raskt.
Som kjent så utnytter EternalBlue en sårbarhet i den gamle SMB v1-protokollen (Server Message Block). Denne protokollen brukes primært til deling av filområder og skrivere i lokale Windows-nettverk, men søketjenesten Shodan avslører at minst en million Windows-datamaskiner eksponerer SMB-tjenesten mot internett.
Les mer: Mer enn en million Windows-servere eksponerer SMB-porten på internett (Digi ekstra)
Sikkerhetsoppdateringene kom våren 2017
Windows har støttet versjon 2 av SMB siden Windows Vista, så det med mindre virksomheten har veldig gammelt IT-utstyr, er det ikke behov for å ha støtten for versjon 1 aktivert. Microsoft beskriver på denne siden flere ulike metoder for å sjekke om SMB v1 (også kalt CIFS) er aktivert og hvordan støtten kan skrus av.
Sårbarheten som EternalBlue utnytter, ble fjernet fra nyere Windows-versjoner i mars 2017. I mai kom Microsoft også med fritt tilgjengelige sikkerhetsfikser til Windows XP.
I utgangspunktet burde derfor alle Windows-systemer fra 2001 og fram til i dag være immune mot spredningsmekanismen som EternalBlue tilbyr. Men som angrepene med WannaCry, NotPetya og en rekke andre skadevarefamilier stadig demonstrerer, er dette ikke slik i virkeligheten.
Les også: For NSA var EternalBlue-verktøyet som å fiske med dynamitt
Økende angrep
Mange virksomheter unnlater tilsynelatende å installere selv kritiske sikkerhetsoppdateringer. I tillegg er det mange som har store mangler i selv de mest elementære sikkerhetsløsningene, slik som at brannmuren lar SMB være eksponert direkte på internett, uten bruk av for eksempel VPN. Slike tiltak er verken kostbare eller vanskelig å få til, men det krever visse kunnskaper og ikke minst tid.
Ifølge både New York Times og Ars Technica er det hundretusenvis av offentlig eide datamaskiner i USA som både er sårbare for EternalBlue og som er eksponert på internett.
Disse og andre sårbare maskiner verden over gjør at antallet forsøk på å utføre angrep ved hjelp av EternalBlue er langt høyere nå enn da WannaCry- og NotPetya rammet som verst, ifølge en fersk rapport fra IT-sikkerhetsselskapet Eset.
Til New York Times sier ikke navngitte sikkerhetsspesialister at de ser at EternalBlue brukes i angrep nesten hver eneste dag.
Byen Baltimore er for øvrig ikke den eneste amerikanske byen som har blitt rammet av utpressingsvare i det siste. Allentown i Pennsylvania, Lynn i Massachusetts, Cartersville i Georgia, San Antonio i Texas og Greenville i North Carolina er andre eksempler. Greenville ble i april rammet av samme skadevare som har slått ut systemene i Baltimore.
Har du lest denne: – Skrinla oppgradering av IT-sikkerheten hos Mærsk fordi det ikke ga lederne økt bonus