ShadowBrokers NSA Hacking Toolz
Zittern Sie schon bis zum nächsten GAU?
Wir nicht!
Da wir schon immer vor den Gefahren von NetBIOS/SMB sowie DCOM/RPC gewarnt haben, sehen wir diese Neuigkeiten eher gelassen.
Unsere System sind nicht anfällig für derartige Schwachstellen/Exploits.
Doch zeigen uns diese Programme sehr deutlich, dass die von uns bemängelten Schwachstellen durchaus bestehen und diese jederzeit gegen Sie genutzt werden können.
Das Problem bei der ganzen Thematik zeigt wiedermal, wie verwundbar die derzeitige IT-Situation angesehen werden muss und wieviel Handlungsbedarf weiterhin besteht.
Nur macht keiner wirklich etwas, um diesen Zustand zu beenden.
Wir hören viele Reden, doch selbst wenn man hingeht und die Schwachstellen den Betroffenen benennt und zeigt wo das Problem liegt und wie man es korrigieren kann, macht keiner etwas.
Vor Jahren haben wir die Bundesregierung kontaktiert und auf die Gefahren in der IT-Sicherheit hingewiesen, doch keiner wollte zuhören. Nun, da diese sehr anschaulichen Programme ihren Weg an die Öffentlichkeit gefunden haben, ist jeder selbst in der Lage zu sehen, wieviel Vertrauen man wirklich in die derzeitige IT-Sicherheit legen kann.
Da Microsoft diverse Sicherheitslücken nicht bereit ist zu schließen, wird sich auch wohl niemals etwas grundlegend an dieser Situation ändern.
Wir wollen Sie aber jetzt nicht mit ewigen Reden langweilen und haben uns dazu entschlossen Ihnen zu zeigen, wieso wir uns keine Sorgen machen brauchen.
In den nachfolgenden Bildern sehen Sie zwei virtuelle (VM) Rechner mit dem Windows 7 64Bit Betriebssystem in einem realen Windows 7 Computer in Betrieb.
Die linke VM ist der Angreifer, die rechte VM wird angegriffen.
Damit wir den Ausgabetext vom Angriffsprogramm, EternalBlue, darstellen können, wird dieses in einer sogenannten Windows Shell, also eine Eingabeaufforderung gestartet.
Das Angriffsprogramm liest durch eine *.xml Datei ihre entsprechende Konfiguration und braucht nach gewünschter Konfiguration nur noch ausgeführt werden, alles weitere ist automatisiert.
Wir haben zwischen den ausgeführten Befehlen immer einen Hinweis mit angegeben, in welcher Konfiguration der Test durchgeführt wurde.
Um Ihnen definitiv zu zeigen, dass die Infektion mit dem Schadprogramm EternalBlue erfolgreich war, haben wir zwischendurch den Status, mit dem python-Skript detect_doublepulsar_smb.py von Luke Jennings @countercept.com, geprüft.
Im ersten Bild sehen Sie den ersten Status Test, um zu zeigen, dass noch keine Infektion stattgefunden hat.
In diesem Bild sehen Sie die Infektion mit der direkten Verbindung zwischen beiden VM's via TCP Port 445 (NetBIOS/SMB) am rechten Klienten mit der IP 192.168.56.102.
In diesem Bild sehen Sie, dass die Infektion am rechten Klienten erfolgreich beendet wurde.
In diesem Bild sehen Sie durch die Statusabfrage, dass definitiv die Infektion am rechten Klienten erfolgreich beendet wurde und in diesem nun die sogenannte Schadprogramm Implementierung von Eternalblue vorhanden ist. Danach wurde das Schadprogramm mit dem Zusatzbefehl "--uninstall" wieder entfernt.
Hier zeigen wir Ihnen nun, dass das Schadprogramm EternalBlue nicht mehr funktioniert, nachdem NetBIOS/SMB durch WSecure komplett deaktiviert wurde. Beachten Sie hier, dass es am rechten Klienten keinen offenen TCP Port 445 mehr gibt.
In WSecure gibt es eine spezielle Sicherheitskonfiguration für NetBIOS/SMB Windows Klienten. In dieser Konfiguration, wie rechts sichtbar, ist eine ausgehende Benutzung von NetBIOS/SMB weiterhin am rechten Klient möglich, der rechte Windows Klient stellt dabei selbst jedoch keine Datei und Druckerfreigabe mehr bereit. TCP Port 445 bleibt bei IP 192.168.56.102 geschlossen.
Wie zu sehen, ist in diesem Szenario selbstverständlich EternalBlue machtlos und kann den Windows Klienten nicht übernehmen, da es keinen ansprechbaren offenen TCP Port 445 mehr gibt.
Im letzten Bild sehen Sie, dass es durch WSecure sogar möglich ist eine Server Funktionalität bereit zu stellen und EternalBlue versagt an den Sicherheitseinstellungen die zuvor durch WSecure in das System übertragen wurden.
Der Windows 7 Klient konnte dank der Sicherheitseinstellungen von WSecure nicht übernommen/gehackt werden.
Fazit:
Wie wir Ihnen anschaulich zeigen konnten, schützt WSecure effektiv jeden Windows PC gegen diverse Schwachstellen. Da sich am allgemeinen Zustand der IT-Sicherheit aber nichts ändern wird, bleibt alles wie es ist und Sie zittern weiter.
Wir nicht!
Möchten Sie mehr tun, oder weiter zittern?