De wereld gaat weer eens gebukt onder een ransomware-aanval. De WannaCrypt-ransomware haalt de kranten omdat in het oog springende organisaties worden besmet. Voor de zoveelste keer geeft een security-incident aan dat beveiliging te laag op de agenda staat bij veel bedrijven.
De WannaCrypt-ransomware (ook bekend als WannaCry) demonstreert dat er iets fundamenteels schort aan de IT-beveiliging van diverse getroffen bedrijven. Het gaat er niet zomaar om dat iemand een steek heeft laten vallen, want de infecties laten zien dat een basaal security-beleid ontbreekt. Een besmet systeem:
- Gebruikt een versie van het SMB-protocol van vóór 2006; in dat jaar werd SMB2 geïntroduceerd en daarvoor werkt de nu gebruikte exploit niet.
- Had door het protocol gebruikte poorten naar buiten toe openstaan, wat sterk wordt afgeraden als je SMB gebruikt om bestanden te delen. SMB-verkeer moet worden beperkt tot het interne netwerk.
- Had al zeker drie Patch Tuesdays overgeslagen. De patch voor de SMB-zeroday die de NSA gebruikte werd in maart uitgegeven.
Dat laatste gold overigens niet voor verouderde versies van Windows, zoals Windows XP. Tekenend is het dat Microsoft voor dit reeds enige jaren verlaten besturingssysteem een patch heeft uitgebracht die het SMB-gat dicht, zodat WannaCrypt niet meer kan binnenkomen via de exploit die de ransomware gebruikt.
Oud zeer
Komt dit verhaal je wel heel bekend voor? Misschien heb je acht jaar geleden de Conficker-paniek van dichtbij meegemaakt. Ook deze worm maakte gebruik van een gat in Windows dat van tevoren werd gedicht, maar niet op tijd genoeg om te voorkomen dat wereldwijd miljoenen pc’s werden besmet.
Conficker is overigens nog stééds een van de meest voorkomende malware, wat bewijst dat we wereldwijd heel, heel, héél zwaar achterlopen en systemen niet alleen maanden niet gepatcht worden, maar zelfs jaren en in het geval van Windows XP kunnen we het al bijna over decennia hebben. Nimda, Blaster, Slammer – allemaal geesten uit het verleden die nog altijd rondwaren.
Druk van bovenaf
WannCrypt/WannaCry had welbeschouwd geen reden tot paniek moeten zijn. De reden dat dit wel een gênante kwestie is geworden, geeft aan dat veel IT’ers onvoldoende controle hebben gekregen van hun organisaties over de interne systemen. Systeembeheerders weten wel beter, maar druk van hogerhand gaat meestal om de beschikbaarheid van legacy, en de risico’s die daarmee gepaard gaan worden ofwel genegeerd ofwel totaal verkeerd ingeschat.
De WannaCrypt-paniek is daarmee een schoolvoorbeeld die beveiligers kunnen aanhalen om aan te geven dat risico’s wel degelijk groter zijn dan menig organisatie inschat. WannaCrypt waait wel weer over, maar security-incidenten blijven komen: we blijven zo doorgaan van Conficker naar Heartbleed naar IoT-DDoS naar WannaCrypt naar het paniekverhaal van morgen.
Leren van WanaCrypt?
Schrikt de wereld nu wakker en komt security hoger op de agenda bij bedrijven? Als een SSL-gat als Heartbleed dat niet deed – en zelfs jaren later nog steeds ongepatcht blijft op diverse servers – dan lijkt het er niet op dat een minder fundamenteel issue als deze dat gaat doen.
En leren we sowieso van ervaringen uit het verleden? Zo’n 17 jaar na ILOVEYOU worden extensies nog steeds standaard verborgen in veel omgevingen, zodat gebruikers niet zien dat ze een executable aanklikken in plaats van een document en macrovirussen zijn 18 jaar na Melissa ook nog steeds een bedreiging.
Positieve noot
Maar misschien is de positieve noot van WannaCry op middellange termijn dat individuele bedrijven wellicht wél beter reageren nadat ze zijn getroffen. Als je kijkt naar hoe KPN security hoger op de agenda zette na een gênant incident, dan geldt dat wellicht ook voor een getroffen organisatie als Q-Park.
Bron: Computerworld