WannaCry-ormen crashede Windows XP med blå skærm i stedet for at inficere

I stedet for at inficere en pc med Windows XP, så fik WannaCry-ormen styresystemet til at crashe.

Ransomware-ormen WannaCry viste sig, da støvet efter angrebet Store Bededag havde lagt sig, stik mod forventning ikke at have påvirket det ellers sårbare styresystem Windows XP. Det var især Windows 7, der var hårdt ramt, nåede sikkerhedsfirmaet Kaspersky frem til i en analyse af de inficerede maskiner.

Det rejste dog spørgsmålet om, hvorfor Windows XP, som indeholdt det samme sikkerhedshul, som ormen udnyttede på Windows 7, var gået fri? Svaret ser ud til at ligge i selve Eternal Blue-exploitet, som WannaCry benyttede sig af.

Læs også: Kaspersky efter XP-panik: WannaCry-orm gik efter Windows 7 og Server 2008

I et blogindlæg forklarer sikkerhedsfirmaet Kryptos, hvordan WannaCry havde svært ved at sprede sig i selskabets testmiljø, selv på sårbare systemer.

Kryptos tog udgangspunkt i et scenarie, hvor en sårbar Windows 2008-server var blevet inficeret, hvorefter ormen forsøgte at sprede sig via netværket på port 445, som bruges af SMB-protokollen.

Men når ormen sendte Eternal Blue-exploitet til en pc med Windows XP Service Pack 3, så blev sårbarheden tilsyneladende udløst, men resulterede blot i 'blå skærm', altså at Windows crashede. Selve bagdøren, der skulle inficere systemet med ransomwaren, blev ikke installeret.

Fylder hukommelsen afsat til apps

Nok endnu mere overraskende er det, at på en pc med Windows XP Service Pack 2, fortsatte systemet blot med at køre uden fejl. Det tyder på, at selv hvis Eternal Blue potentielt kan inficere en Windows XP-maskine, så sker det sjældent. WannaCry-ormen var designet til blot at forsøge fem gange mod den samme IP-adresse, så lokalt på et netværk vil en Windows XP-maskine være udsat for et forholdsvis begrænset antal forsøg, alt efter hvor mange andre maskiner, der er inficeret og forsøger at sprede ormen.

Eternal Blue-exploitet udnytter et sikkerhedshul i form af et 'heap overflow'. Det er en type sikkerhedshul, hvor det er muligt at fylde det område af hukommelsen, som er afsat til en applikation eller tjeneste på en måde, så eksekverbar kode ender i et andet område af hukommelsen, hvor det kan blive kørt.

Microsoft introducerede i Windows Vista teknikken Address Space Layer Randomization (ASLR), som netop skal gøre det sværere at udnytte denne type sårbarheder ved at gøre det vanskeligere at forudsige, hvor i hukommelsen den eksekverbare kode ender. Windows XP havde altså ikke denne beskyttelse.

Men det var ikke kun Eternal Blue, som så ud til ikke at være designet til pålideligt at inficere Windows XP. Også den bagdør, som blev brugt til at installere selve ransomwaren, fungerede ikke på det forældede styresystem.

På Windows 7 blev ransomwaren installeret

Sikkerhedsfolkene hos Kryptos inficerede manuelt pc'erne med Double Pulsar-bagdøren, og på Windows 7 lykkedes det som forventet for bagdøren at hente og installere selve ransomwaren. På Windows XP udløste det blot en blå skærm og en genstart af pc'en. Der var altså ingen filer, som blev krypteret.

Selve ransomware-delen kunne dog godt afvikles manuelt på en Windows XP-installation, men altså ikke via bagdøren. Der er ikke fundet tegn på, at WannaCry-ransomwaren har spredt sig via andre metoder end via netværket og sikkerhedshullet i SMB-protokollen til Windows.

Dermed ikke sagt, at Windows XP-maskinerne ikke var sårbare over for Eternal Blue. Windows XP har sikkerhedshullet, men den måde, WannaCry implementerede Eternal Blue-exploitet på, var ikke pålideligt i forhold til at inficere Windows XP. I stedet ser det ud til, at WannaCry var mere tilbøjelig til blot at have udløst en blå skærm og et crash på en ikke-opdateret Windows XP-maskine.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize