{"id":190511,"date":"2017-05-20T12:51:16","date_gmt":"2017-05-20T10:51:16","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=190511"},"modified":"2023-02-20T01:30:16","modified_gmt":"2023-02-20T00:30:16","slug":"wannycry-meist-ungepatchte-windows7-systeme-befallen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/05\/20\/wannycry-meist-ungepatchte-windows7-systeme-befallen\/","title":{"rendered":"WannaCry: Meist ungepatchte Windows 7 Systeme befallen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"win7\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/03\/win7_thumb1.jpg\" alt=\"win7\" width=\"44\" height=\"42\" align=\"left\" border=\"0\" \/>Es ist jetzt sieben Tage nach dem WannaCry Ransomware-Angriff auf Windows-Systeme her. Langsam lichten sich die Nebel und es wird deutlich, wo es im Argen lag. Hier einige Nachtr\u00e4ge rund um dieses Thema.<\/p>\n<p><!--more--><\/p>\n<h2>War Windows XP der B\u00f6sewicht?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/1805355d44044637a72f5cea3b886f6c\" alt=\"\" width=\"1\" height=\"1\" \/>Als bekannt wurde, dass die Ransomware Systeme im Krankenhaus (britisches NHS) und Firmenrechner befiel und die SMBv1-L\u00fccke zur Verbreitung im Netzwerk nutzte, zeigten pl\u00f6tzlich viele Finger auf Windows XP. Das Betriebssystem ist ja seit 2014 aus dem Support herausgefallen (nur zahlende Kunden und Windows Embedded erhielten wohl Patches).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20220130150333\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/05\/Ransom.WannaCrypt2.1.png\" width=\"661\" height=\"497\" \/><br \/>\n(Quelle: MalwareBytes)<\/p>\n<p>Der Schluss war naheliegend, dieses Betriebssystem als Hauptgrund f\u00fcr die grassierende WannaCrypt-Verbreitung zu vermuten. Und es gab nat\u00fcrlich den Sonderpatch von Microsoft, der wohl im Februar 2017 bereits entstand und nun freigegeben wurde. Aber wie schaut es wirklich aus, war Windows XP die Schwachstelle? Mir kam bereits Sonntag Nacht ein Tweet von Kevin Beaumont (Sicherheitsarchitekt) unter die Augen, den ich in <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/comment-page-1\/#comment-43933\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Kommentar<\/a> angesprochen habe:<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">It's easy to say \"we told you so\" about running XP in 2017, but this is the first serious issue in the three years since its EOL.<\/p>\n<p>\u2014 Martijn Grooten (@martijn_grooten) <a href=\"https:\/\/twitter.com\/martijn_grooten\/status\/863339062245154822\">13. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ich habe es nicht weiter aufgegriffen, aber bei AskWoody gibt es diesen Kurztext <a href=\"https:\/\/www.askwoody.com\/2017\/the-original-wannacry-does-not-infect-windows-xp-boxes\/\" target=\"_blank\" rel=\"noopener noreferrer\">The original WannaCry does NOT infect Windows XP boxes<\/a> mit gleichem Tenor. In diesem Tweet gibt Kevin Beaumont an, dass Windows XP und Windows Server 2003 nicht remote infiziert werden.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Re WannaCry &#8211; it doesn't remotely infect XP or 2003. <a href=\"https:\/\/t.co\/QUmUPifJXU\">https:\/\/t.co\/QUmUPifJXU<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 19. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Und es gibt einen Tweet zum WannaCry XP-Key-Extraktor von ihm.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Just with regards to the WannaCry XP key extractor &#8211; fun research, but WannaCry doesn't spread remotely to XP so use case limited.<\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 18. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Die Aussagen beziehen sich immer noch auf die SMBv1-L\u00fccke, was man im Hinterkopf behalten sollte. Denn ein paar Windows XP-Systeme wurde infiziert (m\u00f6glicherweise per Phishing-Angriff).<\/p>\n<h2>Daten von Kaspersky: Windows 7 ist 'Spitze'<\/h2>\n<p>Aktuell hat Sicherheitsspezialist Kaspersky wohl eine Analyse herausgegeben, welches die Verteilung der WannaCrypt-Infektionen nach Betriebssystemen aufschl\u00fcsselt (the Verge hat es <a href=\"https:\/\/www.theverge.com\/2017\/5\/19\/15665488\/wannacry-windows-7-version-xp-patched-victim-statistics\" target=\"_blank\" rel=\"noopener noreferrer\">hier zitiert<\/a> \u2013 und es gab schon einen <a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/wannacrypt-zwischenruf-wir-mssen-reden\/comment-page-1\/#comment-44171\">Blog-Kommentar<\/a> dazu \u2013 danke an Thorky).<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\"><a href=\"https:\/\/twitter.com\/hashtag\/WannaCry?src=hash\">#WannaCry<\/a> infection distribution by the Windows version. Worst hit &#8211; Windows 7 x64. The Windows XP count is insignificant. <a href=\"https:\/\/t.co\/5GhORWPQij\">pic.twitter.com\/5GhORWPQij<\/a><\/p>\n<p>\u2014 Costin Raiu (@craiu) <a href=\"https:\/\/twitter.com\/craiu\/status\/865562842149392384\">19. Mai 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Windows XP kommt in obiger Grafik nicht signifikant vor \u2013 was die These aus obigen Abschnitten st\u00fctzen kann. Der Hauptanteil der Infektionen (ca. 98%, wenn man beide Balken addiert) wurde wohl bei 64-Bit-Windows 7-Business-Systemen verursacht. Windows 7 Home, im Privatanwenderbereich oder in kleinen Firmen im Einsatz, kommt nur auf 2,61%, die Windows Server 2008 R2-Varianten liegen unter einem % und Windows 10 (x64) d\u00fcmpelt bei 0,03 %.<\/p>\n<p>Dort stand aber seit M\u00e4rz 2017 ein Patch zur Verf\u00fcgung, so dass die Infektionen wohl ungepatchte Systeme betrafen. Man k\u00f6nnte sich m\u00f6glicherweise die Frage stellen, ob die Update-Strategie, die seit November 2016 von Microsoft mit den Rollups gefahren wird, da ggf. zu beigetragen hat? Ich wei\u00df es nicht wirklich.<\/p>\n<h2>Noch kein Ende der Infektionen \u2026<\/h2>\n<p>An dieser Stelle noch zwei kurze Informationen: Es hie\u00df zwar letztes Wochenende, dass ein Sicherheitsexperte durch die Registrierung einer Domain eine Art Kill-Switch aktivierte, die die automatische Verbreitung von WannaCrypt \u00fcber dessen Wurm-Komponente per SMBv1-L\u00fccke unterbindet. Denn die Wurm-Komponente pr\u00fcft, ob die hardcodierte Domain erreichbar ist und stellt die Verbreitung ein. Birgt nat\u00fcrlich m\u00e4chtiges Potential, dass dieser Kill-Switch ausgehebelt wird.<\/p>\n<ul>\n<li>Die Urheber der Ransomware k\u00f6nnten jederzeit eine modifizierte Fassung freilassen, die andere Domains oder einen neuen Mechanismus als Kill-Switch verwendet oder auf den Switch verzichtet. Bisherige Varianten scheinen mehr oder weniger von Drittbrettfahrern gepatchte Ausgaben zu sein, wo die Domain im Hexcode ge\u00e4ndert wurde.<\/li>\n<li>Scheinbar haben Sicherheitsl\u00f6sungen, die auf den Clients installiert waren, den Zugriff auf die Domain der Ransomware blockiert. Dadurch sprang die Infektionskette in einigen Netzwerken wieder an.<\/li>\n<li>Wired <a href=\"https:\/\/www.wired.com\/2017\/05\/wannacry-ransomware-ddos-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a>, dass Hacker \u00fcber ein Mirai-Botnetz DDoS-Angriffe auf die Sinkhole-Domain fahren (20 GB\/s Traffic). Das Kalk\u00fcl: Wenn der dahinter steckender Server in die Knie geht, k\u00f6nnen die befallenen Windows-Clients die Domain nicht erreichen. Ergo beginnt sich die Infektionskette erneut auszubreiten.<\/li>\n<\/ul>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Today's Sinkhole DDoS Attack <a href=\"https:\/\/t.co\/wxT2YUrdOF\">pic.twitter.com\/wxT2YUrdOF<\/a><\/p>\n<p>\u2014 MalwareTech (@MalwareTechBlog) 18. Mai 2017<\/p><\/blockquote>\n<p><script async src=\"\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der DDoS-Angriff scheint aus Spa\u00df an der Freud zu laufen. Offenbar wollen einige Leute sehen, wie die Infektionswelle weiter geht.<\/p>\n<p>Bei Bleeping Computer berichtet <a href=\"https:\/\/web.archive.org\/web\/20230119225434\/https:\/\/www.bleepingcomputer.com\/news\/security\/wannacry-ransomware-infects-actual-medical-devices-not-just-computers\/\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Artikel,<\/a> dass auch medizinische Ger\u00e4te durch die WannaCry-Ransomware befallen werden. Nachdem ich den Forbes-Artikel \u00fcberflogen habe, liegt der Schluss nahe, dass die Aussage 'Medizinger\u00e4te befallen' nicht wirklich zielf\u00fchrend ist. Die Bayer MedRad-Ger\u00e4te sind wohl Rechner mit Windows, die f\u00fcr die Auswertung von MRT-Scans verwendet werden. Hier muss der Hersteller die betreffenden Updates freigeben und die IT-Abteilung der Krankenh\u00e4user oder die Techniker des Herstellers m\u00fcssen diese installieren.<\/p>\n<h2>Neuer SMB-Wurm verwendet 7 NSA-Exploits<\/h2>\n<p>Beunruhigender ist die zweite <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two\/\" target=\"_blank\" rel=\"noopener noreferrer\">Meldung bei Bleeping Computer<\/a>, dass ein neuer SMB-Wurm in den inzwischen aufgestellten Honeypots entdeckt wurde, der auf SMB-Schwachstellen abstellt. W\u00e4hrend WannaCry zwei Schwachstellen aus dem NSA-Arsenal ausnutzt, soll der neue SMB-Wurm '7 NSA-Tools' zur Verbreitung nutzen. Man gibt folgende NSA-Tools an:<\/p>\n<ul>\n<li>ETERNALBLUE,<\/li>\n<li>ETERNALCHAMPION,<\/li>\n<li>ETERNALROMANCE,<\/li>\n<li>ETERNALSYNERGY<\/li>\n<\/ul>\n<p>die SMB-Exploits zum Eindringen in ein System verwenden. Dann kommen die NSA-Tools SMBTOUCH und ARCHITOUCH f\u00fcr SMB-Operationen zum Einsatz. Hat sich die Schadsoftware auf dem Rechner eingenistet, kommt DOUBLEPULSAR zur Suche und Verbreitung auf anderen Rechnern im Netzwerk zum Einsatz. Der EXTERNALROCKS genannte Wurm ist recht komplex (aktuell) aber wohl weniger gef\u00e4hrlich als WannaCry, schreibt Bleeping Computer. Die zweite Stufe zur Verbreitung z\u00fcndet (aktuell) erst nach 24 Stunden \u2013 m\u00f6glicherweise, um eine Entdeckung in einer Sandbox zu verhindern. Die verwendeten Techniken und der fehlende Kill-Switch bieten jedoch das Potential, dass der Autor der Schadsoftware diese jederzeit 'scharf machen' und mit einer Malware-Komponente versehen k\u00f6nnte.<\/p>\n<p>Irgendwo habe ich die Tage gelesen, dass die Autoren von WannaCrypt als nicht wirklich erfahren im Gesch\u00e4ft klassifiziert wurden. Ob die kolportierte Spur nach Nord-Korea tr\u00e4gt, ist unklar. Was man aber wohl annehmen kann: Die B\u00fcchse der Pandora ist ge\u00f6ffnet und es ist nicht der letzte Ransomware-Fall, der die Welt in Atem halten wird.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/ransomware-wannacry-befllt-tausende-computer-weltweit\/\">Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/wannacrypt-zwischenruf-wir-mssen-reden\/\">WannaCrypt-Zwischenruf: Wir m\u00fcssen reden \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/13\/wannacrypt-updates-fr-windows-xp-server-2003-co\/\">WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/wannacry-neue-versionen-und-mehr-neuigkeiten\/\">WannaCry: Neue Versionen und mehr Neuigkeiten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/14\/auch-geldautomaten-sollen-mit-windows-10-laufen\/\">Auch Geldautomaten sollen mit Windows 10 laufen \u2026<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/15\/wannacry-die-lage-am-montag\/\">WannaCry: Die Lage am Montag<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/18\/wannycry-decryptor-fr-windows-xp\/\">Wannycry: WCry-Decryptor f\u00fcr Windows XP<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/05\/19\/wannycry-decrypting-mit-wanakiwi-auch-fr-windows-7\/\">WannaCry: Decrypting mit WanaKiwi auch f\u00fcr Windows 7<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es ist jetzt sieben Tage nach dem WannaCry Ransomware-Angriff auf Windows-Systeme her. Langsam lichten sich die Nebel und es wird deutlich, wo es im Argen lag. Hier einige Nachtr\u00e4ge rund um dieses Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185],"tags":[4715,6177,6170,4294],"class_list":["post-190511","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","tag-ransomware","tag-wannacry","tag-wannacrypt","tag-windows-7"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190511","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=190511"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/190511\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=190511"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=190511"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=190511"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}