Amerikanske byer angribes af lækket NSA-sikkerhedshul

Illustration: Bernie123/Bigstock
Det NSA-udviklede sikkerhedshul EternalBlue er blevet brugt i en række angreb, inklusive af ransomwaren Wannacry. Nu udnyttes det til at afpresse amerikanske byer.

Sikkerhedshullet EternalBlue, som NSA fandt og ikke rapporterede til Microsoft i mere end fem år, er igen blevet brugt til digital afpresning, denne gang af amerikanske byer.

Det skriver New York Times.

Værst ramt er byen Baltimore, som har kæmpet med et cyberangreb baseret på EternalBlue i tre uger, hvilket har lukket tusindvis af computere og skabt problemer med blandt andet vandregninger, sundhedsalarmer og ejendomshandler.

Flittigt udnyttet sikkerhedshul

EternalBlue blev oprindeligt fundet af NSA, som ikke rapporterede det til Microsoft.

Læs også: Medie: NSA overrasket over potentiale i WannaCry-exploit - for fem år siden

I 2017 offentliggjorde hackergruppen The Shadowbrokers EternalBlue sammen med en række andre NSA-værktøjer, de havde skaffet sig adgang til.

Det blev starten på en mareridt for mange virksomheder og institutioner med gamle computersystemer. For selvom Microsoft allerede havde lukket hullet på moderne styresystemer, var der ikke kommet en patch til de ikke længere understøttede systemer Windows XP og Windows Vista.

Dét udnyttede hackere til at udvikle ransomware – software, der krypterer ofrenes filer, hvorefter bagmændene kræver penge for, angiveligt, at genskabe filerne.

Det højest profilerede angreb var Wannacry, men der var også andre angreb, blandt andet NotPetya, som kostede Mærsk mere end en milliard kroner.

Læs også: NotPetya-cyberangreb koster Mærsk milliardbeløb

Gamle systemer

Den fortsatte udnyttelse af EternalBlue sætter fokus på en gammel problemstilling inden for it: gamle systemer, der ikke sikkerhedsopdateres.

Læs også: San Francisco kæmper med 80’er-software

Sikkerhedshullet har været lukket på opdaterede systemer, længe før det blev bredt kendt med offentliggørelsen fra The Shadowbrokers. Alligevel er det blevet angrebsvektor for nogle af de mest destruktive cyberangreb i verdenshistorien.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

I ovenstående artikel står der:

Sikkerhedshullet har været lukket på opdaterede systemer, længe før det blev bredt kendt med offentliggørelsen fra The Shadowbrokers.

(min fremhævning)

I den linkede artikel fra NYT står der flg.:

One month before the Shadow Brokers began dumping the agency’s tools online in 2017, the N.S.A. — aware of the breach — reached out to Microsoft and other tech companies to inform them of their software flaws.

(min fremhævning)

Jeg skal ikke kunne sige, hvad der er op og ned her, men det virker til, at V2 og NYT ikke har samme kilder - eller også betragter man et tidsrum mindre end en måned, som værende lang tid.

Hans Nielsen

"Den fortsatte udnyttelse af EternalBlue sætter fokus på en gammel problemstilling inden for it: gamle systemer, der ikke sikkerhedsopdateres."

Vel også fokus på NAS og andre 3 stjernede rolle.

Hvor muligheden som mord på saudiske journalist Jamal Khashoggi, er vigtigere, end hele ens eget samfunds infrakstruktur.

Yderligere grund til at der aldrig skal indbygges bagdøre. Samt måske også, at valg baseret på licenseret og patentere styresystemer og software, ikke er det billigste i længten.

Christian Nobel

EternalBlue blev oprindeligt fundet af NSA, som ikke rapporterede det til Microsoft.

EternalBlue blev ikke fundet af NSA, det blev opfundet af NSA:

https://www.engadget.com/2019/05/25/ransomware-attacks-use-stolen-nsa-tool/

Der er altså en verden til forskel, og det viser meget godt at alle disse herlige cyberkrigsvåben som skæg og blå briller branchen leger med er at sammenligne med biologisk krigsførelse - man ved aldrig hvornår virussen kommer tilbage i ens eget land.

Og hvis man læser denne artikel:

https://www.engadget.com/2017/04/14/shadow-brokers-dump-windows-zero-day/

står der: ETERNALBLUE (a remote exploit for XP and above)!

Povl H. Pedersen

Eternalblue er en bug i SMB v1.
SMB v1 patches ikke længere, og Microsofts holdning er at man skal slå det fra. Men det er svært at få operations til det i en større virksomhed, for hvor meget legacy crap har man der stadig bruger det ? Det ved man ikke.

Man burde begrænse det til en enkelt filserver der servicerer gamle klienter, og Microsoft burde i en patch slå det fra på alle filservere med Windows 2012 og frem.

Bjarne Nielsen

Der er ingen tvivl om at Baltimore populært sagt hænger med røven i vandskorpen, og jeg har set nogen sige, at det skyldes en forslumning af byen, der forstærkes af en udflytning af stærke skatteydere til omegnen.

Det gør det ganske givet også svært at tilstrække og fastholde kvalificerede folk, endsige betale for licenser og opgraderinger. Og sådan har det nok været et stykke tid. Baltimore by har i længere tid været inde i en dødsspiral, og dette føjer kun spot til skade. De kriminelle går først efter de svage ofre, dem som ingen vil hjælpe.

Men det er næppe unikt for Baltimore. Var det ikke et angreb baseret på teknologi udviklet af samme "leverandør" (NSA), som lagde NHS i UK ned? Fordi at der blev brugt udstyr og software, som forlængst var usupporteret, fordi at godkendelser taget tid, og noget?

Personligt mener jeg at pilen peger på Baltimores nabo, Fort Meade, hvor man ikke bare bruger store ressourcer på at finde en så voldsom sårbarhed, men også holder den hemmelig i mange år i snæver egeninteresse ... og selv efter at man har mistet den, så går der op imod et år inden at man orienterer Microsoft og andre om det, og det kun fordi at man får nys om at Shadowbrokers ville gå ud med i bredere form.

Det er mig ubegribeligt at dem, som burde arbejde for os og vores sikkerhed, aktivt leder efter så farlige ting, som de beviseligt ikke kan kan håndtere endsige holde hemmelige - og selv når de så mister kontrollen med det, så går og putter med det til absolut sidste øjeblik.

Det virker også som at føje spot til skade, og dobbeltmoral af værste skuffe, når man som forsvar siger, at man "kunne bare have patchet", når man udemærket ved at det mange steder ikke sker ... for havde man troet det, så ville ens "hack" være værdiløst, og så havde man ikke lavet en "Gollum" på det.

Den amerikanske stat lavede denne ulykke, den amerikanske stat burde træde til og hjælpe den amerikanske by, som er kommet i problemer pga. den amerikanske stats forsømmelighed og uforsigtighed - men holdningen synes at være: oops, I made a mess at your place, now you go clean it up!

Og helt generelt, så forstår jeg ikke, at den vestlige verden, der jo bor i verdens største og mest skrøbelige glashuse, går ind i et kapløb om at finde de største sten at kaste med, fremfor at gøre husene mere solide. Og det er ikke fordi, at det har skortet på advarsler om det fra mere forstandige folk end jeg.

Christian Nobel

Så har de har 2 år til at opdatere deres miljø , og det største problem er typisk dårlig credential hygiene , så hvis de havde et unpatched endpoint burde det ikke være dette resultat

Man kunne jo også causere lidt om hvorvidt det er specielt kløgtigt at blive ved med at tilbede en monokultur fra Redmond, som i den grad har en dårlig track record.

Log ind eller Opret konto for at kommentere