Alvorlig ransomware-orm: Microsoft lukker sikkerhedshul i Windows XP

WannaCry WannaCrypt ransomware
Ransomware-programmet WannaCry har fået sikkerhedseksperter til at slå alarm, og Microsoft har ekstraordinært udsendt en sikkerhedsopdatering til det ellers udgåede Windows XP

En usædvanligt aggressiv ransomware-variant har fået sikkerhedseksperter til at slå alarm. Programmet, der er kaldt 'WannaCry' eller 'WannaCrypt', opfører sig nemlig også som en orm og kan sprede sig via et lokalnetværk.

Angrebet fra WannaCry har også fået Center for Cybersikkerhed til at udsende en trusselsvurdering, hvor truslen fra ransomwaren anses for at være meget høj, og efterretningstjenesten har også observeret scanninger fra programmet på danske systemer.

WannaCry udnytter et sikkerhedshul i Windows, som Microsoft lukkede med en opdatering i marts, men angrebet fra WannaCry har været så alvorligt, at Microsoft nu har frigivet den samme opdatering til de styresystemer, som ikke længere får opdateringer.

Det gælder blandt andet Windows XP, Windows Server 2003 og Windows 8. Selvom disse styresystemer ikke længere supporteres, fordi den 10-årige support af den seneste version er udløbet (for Windows 8 kræver Microsoft en opgradering til mindst Windows 8.1), så anvendes især Windows XP og Windows Server 2003 stadig en række steder. Blandt i udstyr til hospitaler, som tidligere har været ofre for ransomware.

Det britiske sundhedsvæsen NHS havde ifølge The Independent så alvorlige problemer, at det blandt andet gik ud over landets skadestuer, efter NHS var blevet ramt.

Sikkerhedshullet var ét af dem, der kom i forbindelse det læk af oplysninger fra den amerikanske efterretningstjeneste NSA i foråret.

Den første udgave af WannaCry fik lørdag stukket en kæp i hjulet, da en sikkerhedsekspert ved et tilfælde bremsede spredningen ved at registrere et domænenavn, som programmet forsøgte at kontakte. Mekanismen var indrettet således, at WannaCry brugte et ikke-registreret domæne for at sikre sig mod at blive analyseret i en sandkasse, og da domænet blev registreret, troede WannaCry, at den var i et sikret miljø og lukkede ned som forsvar mod analyse.

WannaCry spreder sig først via en phishing-mail, hvor brugeren lokkes til at åbne en fil, som indeholder ondsindet kode, men derefter er WannaCry også i stand til at sprede sig via SMB-protokollen som bruges til at overføre filer via et netværk. Det gælder dog kun version 1 af protokollen, og Microsoft anbefaler derfor, at netværksadministratorer eventuelt blokerer for denne version, hvis det er muligt, for at begrænse eventuelle senere varianter af WannaCry.

Ifølge sikkerhedseksperten Troy Hunts gennemgang, så har blandt andet Kaspersky og Symantec dog rapporteret, at WannaCry også forsøger at angribe via version 2 af SMB.

Selvom den nuværende udgave af WannaCry ikke længere spreder sig aktivt, så er der risiko for, at den samme metode vil blive brugt af andre, og derfor opfordres alle til at installere den nødvendige sikkerhedsopdatering til Windows.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (26)

Kommentarer (26)
Steen Ole Rasmussen

De amerikanske efterretningstjenester trækker et tungt spor efter sig.

Som stater i staten halser de håbløst efter konsekvenserne af deres handlinger. De når aldrig op på højde med dem selv. Effekterne af deres arbejde overskrider deres magt. De utilsigtede konsekvenser overskrider alt, hvad de sigter til med deres metoder og teknik.

Visdommen er vores, når vi ser dem, som dem der aldrig lærer lektien: "Deres våben kan ikke holdes hemmelige, de kan ikke beherskes, de står til alles tjeneste, når først de er skabt"!

DR beskrev i går spionprogrammerne bag angrebet som det, NSA benytter sig af "i sit arbejde". I en af de mange artikler, stod det lakonisk og ureflekteret, at det var NSA´s værktøj, som var faldet i fjendtlige hænder.

Sætningen er væk nu. Den er ikke længere at finde. I stedet står det kun beskrevet som sandsynligt, at det er NSA's spionprogram, der ligger bag hackerangrebet. Den slags klare og ærlige sætninger har det med at forsvinde.

De hemmelige efterretningstjenester kan kun benytte sig af en form for viden, som de ikke officielt kan bekende sig til. Deres viden fungerer kun i det dulgte.

De forbeholder sig også retten til at plante informationer, hvor ingen er. Fx hævder de at vide, hvad kun de kan vide og som vi derfor ikke kan vide, om de ved eller bare hævder at vide. Rusland, Hillary, Clinton, Trump, efterretninger, løgn/sandhed (tvivlsomme frugter på kundskabens træ/rådden frugt/alternative nyheder/postfaktuel viden)

https://www.google.dk/#q=trump+steen+ole

Som stater i staten er de deres egen lovgivere, og falder dermed ved siden af de love, der bygger på eksplicit og gensidigt anerkendt viden, den amerikanske forfatning.

Kundskabens frugt er i deres hænder pil rådden, dysfunktionel og uvederhæftig.

NSA har 40 000 medarbejdere på den amerikanske stats lønningsliste. De koster kassen. Og skadevirkningerne af de våben, som de har udviklet i kampen om det hemmelige herredømme over den globale informationsstrøm, vil den amerikanske stat ikke tage ansvaret for. Det falder i statens lovløse stat, inden for hemmelighedskræmmeriets lovløshed.

Man kan undre sig over, at medier, journalister, professionelle italesættere fortsat formår at lade sig forarge over Donald Trumps måde at føre politik på. Fyringen af chefen for CIA er hverken mere eller mindre odiøs, end selve den lovløshed, som de amerikanske efterretningstjenester repræsenterer.

Joe Sørensen

Er jeg den eneste der undre mig over at Kaspersky er den eneste AntiVirus producent, som udtaler sig til pressen i forbindelse med denne hændelse.

Har alle deres direkte konkurrenter overhovedet udsendt pressemeddelelser eller er det bare ikke lykkes dem at få nogen medier til at læse dem. Jeg synes al information er enten citeret fra Kaspersky eller fra uafhængige sikkerhedsanalytikere.

Det skal ikke ses som kritik af Kaspersky, men af deres konkurrenter. Kom dog ind i kampen, selv om det er weekend.

Michael Cederberg

De amerikanske efterretningstjenester trækker et tungt spor efter sig.

NSA fandt en fejl i windows. Den viden slap ud. Nogen andre brugte fejlen til et ransomware angreb. Og så er den ikke længere.

Hvorfor fandt NSA fejlen? Fordi de har brug for den slags til spionage. Hvis de ikke spionerede så havde de meget mindre grund til at lede efter den slags.

Hvorfor fortalte NSA ikke om fejlen? Fordi så kunne de ikke bruge den til spionage.

Kunne andre have fundet fejlen? Ja hvis de havde ledt.

Din voluminøse snak om NSA, CIA og USA svarer til at blive gal på ham der opfandt kanonen blot fordi hans fjender senere også brugte kanoner.

Fyringen af chefen for CIA er hverken mere eller mindre odiøs, end selve den lovløshed, som de amerikanske efterretningstjenester repræsenterer.

Chefen for CIA sidder der endnu. Men hele historien om fyringen af chefen for FBI viser netop at efterretningstjenesterne ikke udgør "en stat i staten". Det er ganske klart at disse tjenester er under parlamentarisk kontrol. Af samme grund falder nedenstående kommentar fuldstændigt ved siden af:

Som stater i staten er de deres egen lovgivere, og falder dermed ved siden af de love, der bygger på eksplicit og gensidigt anerkendt viden, den amerikanske forfatning.

Jacob Pind

De flest holder releative lavprofil, var ikke en af dem som stoppede hverken dropperen eller selve binaryen.

Hele deres industri er jo under press Traviso viser jo gang på gang at deres produkter har sikkerheds huller som gør remote execution muligt.
Under the årlige heise security tour i tyskland , var de under massivebeskydning pga deres salg af basalt set defekte produkter, alle de flotte ord om de kan stoppe dit og dat, holder ikke når det gælder.

Mark Klitgaard

I forhold til WannaCry ransomware angrebet, er det så rigtigt forstået at den eneste grund til man bliver ramt, er hvis man sidder på en ældre Windows udgave eller bare ikke har installeret sine sikkerhedsopdateringer?

Jacob Pind

Ikke helt , de patches som microsoft sendt ud stopper kun wannacry i at sprede sig via smb1 filesharings hullet mellem maskinerne.

Men den bleve jo spredt via en dropper i bla word dokumenter, hvis man aktiveret de scripts hented og kørt den kryptolocker, en fuld patches maskine ville stadigvæk få dataen lokalt låst, og den ville forsøge at spredes sig til andre ikke patches maskiner fra den.

Det kræver bare en bruger som trykker på alt hvad der ikke gør modstand, om det så er i en email, eller på en hjemmeside, er et fedt.

Bente Hansen

Opklarende spørgsmål


Jeg tror ikke du skal være sikkert på noget som helst. Der er hvis ingen som har fået den analyseret til bunds, den blev stoppet tilsyneladende stoppet, med lidt held og dygtighed. Men der er sikkert en ny version på vej, uden denne stopklods, som sikkert skulle forhindre at den bliver overvåget i en sandkasse.
Der var også andre sikkerhedshuller, i den pose med masseødelæggelsesvåben, som NSA lod ligge og flyde. Skam til dem.

Og til antivirus firmaer, som virkelig viser hvad de er værd. ingenting, undtagen over for deres aktionærer.

Vil nok holde mig helt til Linux maskiner de næste dage, indtil der kommer lidt mere viden om hvad der er op eller ned. Dem som ikke har den mulighed, de bør nok få taget nogle sikkerhedskopier af deres vigtige data, og lægge dem offline. For en sikkerheds skyld.

Jakob Dahl

Når hele den her shitstorm har lagt sig og det bliver hverdag igen vil vi stå tilbage med en kraftig understregning med af, hvor ikke alene tåbeligt, men ekstremt idiotisk, det vil være at indføre bagdøre i kryptering med fuldt overlæg ud fra den naive tanke om at det kun er 'good guys' der skal have dem som det er blevet fremført af flere repræsentanter fra regeringer.

Der findes ikke huller/bagdøre/sårbarheder der er forbeholdt 'good guys' (hvem det så måtte være). Det har vi fået demonstreret her i weekenden på den hårde måde hvis der var nogen der var i tvivl.

Heino Svendsen

DR og ærlighed i samme indlæg... Troede aldrig, at jeg skulle opleve. Kan ikke helt beslutte mig for hvem, som har den største troværdighed som uafhængigt, objektivt medie : DR eller Fox News....

Vil man kalde "angrebet" for et "hacker-angreb"? Er der ikke mere tale om et phishing?

Men surt, at NSA's lille darling vender sig rundt og bider "den frie verden" i halen.

Men gad vide hvornår, vinklingen af historien skifter til, at det er Rusland, som står bag....

Chresten Christensen

Hvor er fornuften henne?
Hvis man bruger samme logik som blev brugt til at anklager Rusland for involvering i USA, så må det være USA der står bag dette hacker angreb, da det er dem der har udviklet Eternalblue, som er det exploit der er blevet brugt.
I stedet driver en flok krigs liderlige psykopater, journalister rundt i cirkusset, som en flok zombier eller hjernevasket idioter.

[REF]Eternalblue = https://en.wikipedia.org/wiki/EternalBlue

Jacob Gorm Hansen

Men ikke Bromium. https://blogs.bromium.com/wannacry-ransomware-wreaks-havoc/ , som stoppede dropperen uden problemer. Den faar lov at koere, men kan ikke goere skade paa hverken filsystemet eller angribe netvaerket. I modsaetning til traditionel AV isolerer Bromium malwaren, i stedet for at forsoege at detecte den, hvilken en fyr der hed Turing tidligere har bevist er umuligt.

(Disclaimer: Jeg har tidligere arbejdet for Bromium, og udviklet dele af virtualiseringssoftwaren som det bygger paa.)

Carsten Kanstrup

Det kræver bare en bruger som trykker på alt hvad der ikke gør modstand, om det så er i en email, eller på en hjemmeside, er et fedt.

Og det skal brugeren da også have lov til! Internettet er baseret på, at man skal kunne klikke sig frem til information; men hvordan skal nogen bruger vide, hvad der ligger og lurer bag en link?

Problemet er ikke tilfældige klik på hjemmesider eller en sekretær, der f.eks. modtager noget, der ligner en faktura, og så klikker på linken, men de tumpenakker, der har tilladt, at alt og alle kan hente, installere og køre programmer på computer uden brugerens udtrykkelige tilladelse - sågar automatisk over et internt netværk!

Programmørerne har for længst givet op og lader det nu være op til 3. part i form af antivirussoftware at lappe på deres fejltagelser og manglende evner til at overskue egne systemer, og går det galt, skylder de bare skylden på brugeren, som burde vide, hvad vedkommende endelig ikke må klikke på - på en hjemmeside, de ikke kender. Det er jo fuldstændig grotesk!

Enhver moderne PC har rigelig RAM til udelukkende at køre hjemmesider og vise e-mail i det, så hvorfor i alverden skal en browser eller en e-mail klient have adgang til harddisken uden tilladelse bortset fra at gemme cookies og filtyper, som har en helt sikker og ikke-eksekverbar extension (.jpg etc.), som burde forhindre filen i nogensinde at blive opfattet og fortolket som andet end det, man tror, den er, som f.eks. et billede ved .jpg? Microsoft startede vanviddet ved at indføre macroer i Word dokumenter, så ikke engang et tekstdokument længere var sikkert, og de og andre har så sandelig videreført den linje. I gamle dage var der også en write-protect knap på harddiske og en tilsvarende slot eller skyder på disketter. Nu er der fri adgang for alt for alle, og man kan ikke engang spærre af ned mod roden i et filsystem og dermed begrænse en evt. skade til en enkelt gren.

Hvornår vågner leverandørerne af sikkerhedsoperativsystemer op og laver noget, der er sikkert? Det må da være milliarder at hente på den totalt virus- og hackerfrie computer, og den burde være overkommelig at lave, hvis den baseres på et sikkerhedsoperativsystem, hvor man bl.a. har 100% garanti for, at en task aldrig nogensinde kan destruere eller blokere andre eller få adgang til ressourder, som den ikke har tilladelse til. Installation af programmer, kryptering af diske og lignende kan så udelukkende udføres af en sikkerhedstask med en let genkendelig brugergrænseflade, som ikke kan efterlignes (f.eks. vha. et write-only baggrundsbillede/vandmærke i videosystemet).

Bente Hansen

Her vil du normalt, hvis du er uheldig,. Kun være en enkelt bruger som bliver angrebet. System, data og programmer er fornuftigt adskilt, og beskyttet.

Har aldrig selv oplevet nogen sikkerhedsproblemer, på ubuntu/mint versioner, på mail eller websider, ved normalt browsing. Som jo er det vigtigste for de fleste mennesker.

Så Carsten Kanstrup installere dig en mint, så har du fået 99% af det som du forlanger. Hvis du vil have den sidste procent med, så tror jeg meget udvikling vil gå i stå. Men krav, også til hardware, software og driver leverandøren.. Dem kan du jo stille, hver gang du køber nyt. Og jo flere der gør det, jo bedre og mere udvalg bliver der.

Så du skal bare købe hardware som er understøttet af Linux, og hvor producenten,af alt hardware har en åben kode, så du kan se med. Også få installeret dig en Mint.
Det angreb på dårlig kode, som vi har set her, bliver jo langt fra det sidste.

Henrik Hansen

Bromium og microvirtualization er interessant.

Men hvordan med performance. Set jeres demoer - er det ikke lidt snyd og en finger på vægtskålen? Browsertest uden bromium er MED annoncer og den med bromium er UDEN annoncer

Hvordan er performance, når man tester med to helt ens konfigurationer i den virkelige verden?

Hvordan performer andre applikationer end en webbrowser - MS-office applikationer?

For det ikke blot er skjult reklame - hvem er jeres største konkurrenter, på Windows/Mac platformen?

Ole Tange Blogger

Er der nogen grund til, at klienter på et netværk kan nå hinanden? Er det i praksis ikke yderst sjældent, at de har behov for det?

Er det i praksis ikke nok, at klienterne kan nå organisationens servere og nå internettet (og nå andre klienter via firewallen)?

Er der en elegant måde at lave sådan en spoke-hub opdeling af netværket?

Bente Hansen

Er der nogen grund til, at klienter på et netværk kan nå hinanden?


NEJ.
Det er vel lidt svært, når MS og andre syntes at der er mega fedt, at vi bare lige kan dele vores video. Som standard.

Fjerner selv alle ikke brugte service på netkort, som IP6. Men du vil jo også kunne tilgå din printer, og få information fra dem ikke ?
Det er så dejligt nemt. Også med tosset usikker genveje. Noget som MS altid har hasarderet i, som med NETBIOS.

Løsningen er nok i, hvis man har dyre nok switche, at lave Vlan regler for hver enkelt port. Så der kun kan tilgås, router ud af huset, server og printer.

Men det trådløse net er et problem ?

Men den næste orm, kommer nok så fra vores printer, routere, eller en anden andet, IoT som vi har sat til.

Michael Hansen

Folk kunne starte med at få lukket SMB-1 ned:
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

Det har været et godt råd længe. (Det breaker support for XP/Win2003 klienter, men helt ærligt, nu må folk sku få opdateret deres gammelt crap).

Selv på Win2016 er det enabled som default.


Ikke at det er nok for at undgå fremtidige versioner af wannacrypt eller nogen special beskyttelse mod den nuværende version (andet end hvad spredning angår), men burde gøres af flere andre grunde også.

Carsten Kanstrup

Det er vel lidt svært, når MS og andre syntes at der er mega fedt, at vi bare lige kan dele vores video. Som standard.

Det er der da heller ingen problemer i - hvis altså programmørerne var kloge nok til altid at opfatte en fil som det, man tror, den er, og så bare blokkere for eksekverbare filer. Problemet kommer, hvis man begynder at tillade, at .exe filer eksekveres uden brugerens tilladelse, eller f.eks en .wmv eller .jpg fil eller dele deraf eksekveres, som hvis den var et program - f.eks. hvis en ondsindet hjemmeside kalder en eksekverbar fil for .jpg eller .zip for at skjule dens sande natur. Det er da helt OK, at man kan sende filer til hinanden; men hvorfor skal andre brugere eller enheder på samme netværk have adgang til at eksekvere kode på min computer og ændre opsætningen uden at spørge mig først? Det går jo fuldstændig galt, når man også begynder at koble diverse kinesiske IoT dimser uden sikkerhed på samme netværk. Hvis de bliver kompromitteret eller er det allerede ved levering, er der jo fri adgang for alt og alle, når man på den måde laver operativsystemer med hovedet under armen.

Blot et minimum af omtanke fra Microsoft's side kunne uden problemer have blokkeret for denne virus; men desværre består størsteparten af udviklerne nok af nørder, der i deres iver efter at se en lille mand løbe over skærmen med et banner helt glemmer hvad de muligheder, de åbner op for, også kan bruges til :-(

Jacob Gorm Hansen

Jo jeg synes det er lidt snyd at sammenligne paa den maade. Jeg lavede selv tilsvarende sammenligner da jeg arbejdede for Bromium, men uden adblocker, og jeg vil mene at det stod nogenlunde lige. Der findes en nyere sammenligning med og uden Adblocking her: https://blogs.bromium.com/virtualization-based-security-subatomic-footpr...

I praksis kommer det lidt an paa, hvor mange browsers mv. man har aabent, jo flere jo bedre faktisk, da Bromium har en "base cost" paa .5 til 1.0GiB, men skalerer bedre end native naar foerst den er i gang. Det skyldes at man i VMer faktisk har bedre kontrol over de enkelte applikationsinstanser end i et normalt OS, og kan swappe og komprimere dem meget mere aggressivt end ellers (vi lavede nogle i al beskedenhed ret saa cutting edge tricks baade mht. komprimering og optimering af IO, som jeg stod for.)

Af konkurrenter jeg kan huske fra min tid der kan jeg naevne Invincera, Spikes Browser, og Menlo Security. Nogle vil muligvis naevne Qubes OS, men jeg vil mene at Bromium er langt mere praktisk brugbart end den meget manuelle tilgang fra Qubes. Nogle vil mene at Bromium efteraber Qubes, men faktisk er ideen beskrevet langt tidligere, bl.a. i artiklen "A safety-oriented platform for Web applications" (publiceret i IEEE security and privacy) fra 2005/2006, som jeg selv var medforfatter paa. Forskningen blev udfoert paa University of Washington.

Endelig skal det naeves at Microsoft har licensieret Bromiums teknologi, og kommer til at bruge det med Edge i Windows 10 pro i fremtiden. Dette bliver dog kun for browsere, og ikke f.eks. Office og Acrobat osv.

Bjarke I. Pedersen

Problemet kommer, hvis man begynder at tillade, at .exe filer eksekveres uden brugerens tilladelse, eller f.eks en .wmv eller .jpg fil eller dele deraf eksekveres, som hvis den var et program - f.eks. hvis en ondsindet hjemmeside kalder en eksekverbar fil for .jpg eller .zip for at skjule dens sande natur.

Hvis du omdøber en .exe fil til .jpg eller .zip, og så forsøger at åbne den, så bliver den ikke afviklet som et program, men forsøgt parset som henholdsvis en jpeg eller en zip, med tilhørende fejlbesked om, at filformatet ikke stemmer overens.

Michael Cederberg

DR og ærlighed i samme indlæg... Troede aldrig, at jeg skulle opleve. Kan ikke helt beslutte mig for hvem, som har den største troværdighed som uafhængigt, objektivt medie : DR eller Fox News....

Nu er du simpelthen for langt ude. Har du nogen grund til at tro at DR bevidst skulle forsøge at fordreje historien? Alle medier laver fejl.

Hvor er fornuften henne?
Hvis man bruger samme logik som blev brugt til at anklager Rusland for involvering i USA, så må det være USA der står bag dette hacker angreb, da det er dem der har udviklet Eternalblue, som er det exploit der er blevet brugt.

Man kan sige at fornuften mangler i dit indlæg. Har du nogen indikationer på at NSA med vilje har overdraget koden til afpresseren? Har du nogen indikationer på at afpresseren har relationer til USA? Har du indikationer der viser at Rusland skulle være specielt angrebet?

Selv Putins folk har ikke forsøgt at spinne denne historie så langt ud som du forsøger.

Heino Svendsen

hvis altså programmørerne var kloge nok til altid at opfatte en fil som det, man tror, den er, og så bare blokkere for eksekverbare filer.

Helt fint... Så blokerer vi også bare for updates etc.

Men når brugere gerne klikker på "JegFuckerDinMaskineOp.exe" og kører den trods 4 advarsler, så har de sgu selv bedt omdet.

Men ok... jeg bærer over med dig. Du er tilhænger af VB.. Så det kvalificerer til invalidepension.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017

Xena - an innovative force in testing next-generation communications technology

22. aug 2017