Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 12 reacties

Verschillende beveiligingsonderzoekers melden dat zij een stijgend aantal infecties zien met een NSA-implant die vorige week door de Shadowbrokers werd vrijgegeven als deel van een grotere collectie. Het gaat daarbij om de zogenaamde Doublepulsar-implant.

The Register schrijft dat de Doublepulsar-backdoor wordt geïnstalleerd door gebruik te maken van de Eternalblue-exploit, die eveneens deel uitmaakte van de Shadowbrokers-dump. Onderzoeker Dan Tentler meldt aan de site dat hij door middel van een Shodan-zoekopdracht recentelijk ongeveer 15.000 infecties heeft waargenomen. Onderzoeker Robert Graham zegt dat hij met een uitgebreidere zoekopdracht ongeveer 41.000 infecties kon vaststellen.

Microsoft heeft in maart al een patch uitgebracht voor de kwetsbaarheid die door Eternalblue wordt gebruikt. Dit betekent echter nog niet dat alle kwetsbare systemen deze patch hebben uitgevoerd. Oude versies van Windows, zoals XP en Server 2003, krijgen de beveiligingsupdate niet meer en blijven daardoor kwetsbaar. Tentler schat in dat een aantal script kiddies na de publicatie van de Shadowbrokers zijn begonnen met het infecteren van systemen, wat vrij eenvoudig is.

Overgenomen systemen kunnen onder andere gebruikt worden om spam te versturen, malware te verspreiden of ddos-aanvallen uit te voeren. Een groot aantal van de geïnfecteerde systemen bevindt zich in de Verenigde Staten. Getroffen systemen zijn te herkennen aan de reactie op een bepaalde ping op poort 445. Beveiligingsbedrijf MWR InfoSecurity publiceerde onlangs een analyse van Doublepulsar.

Moderatie-faq Wijzig weergave

Reacties (12)

Je bent kwetsbaar middels de EternalBlue exploit als je deze patches mist:

msft-cve-2017-0143
msft-cve-2017-0144
msft-cve-2017-0145
msft-cve-2017-0146
msft-cve-2017-0147
msft-cve-2017-0148

Jammer dat er vele systemen aan internet hangen welke overduidelijk conservatief zijn in hun update beleid. Middels shodan is het machtig eenvoudig kwetsbare hosts te vinden. Elk script kiddie met BackTrack en Rapid7 Metasploit probeert nu de EternalBlue, EternalSynergy, EternalRomance of EternalChampion exploit uit.

De impact is volgens mij niet beperkt tot spam/malware/ddos. Als de exploit succesvol is kun je er diversen andere payloads aan koppelen.
Ik heb nog geen MSF module gezien die de betreffende exploit gebruikt. Wel een die kwetsbare hosts bloot legt. Kan het ook mis hebben, ik lees niet alles. Het framework (Fuzzbunch, MSF equivalent van NSA) is ook openbaar. Ik verwacht dat de meeste aanvallen daar vandaan komen.
Mocht iemand een Qualys applicance hebben:

https://blog.qualys.com/s...se-zero-day-exploit-tools

Daarin staan de QID's

Ook Lotus Domino is daarin opgenomen

91361 Microsoft Windows SMBv3 Remote Code Execution – Shadow Brokers (ETERNALSYNERGY) MS17-010
91359 Microsoft Windows Remote Privilege Escalation – Shadow Brokers (ETERNALROMANCE) MS17-010
91360 Microsoft Windows SMBv1 and NBT Remote Code Execution – Shadow Brokers (ETERNALBLUE) MS17-010
91357 Microsoft Windows SMBv1 Remote Code Execution – Shadow Brokers (ETERNALCHAMPION) CVE-2017-0146 & CVE-2017-0147
53007 IBM Lotus Domino Remote Code Execution – Shadow Brokers (EWORKFRENZY)
De belangrijkste les is natuurlijk dat de NSA de wereld weer een stukje veiliger heeft gemaakt met hun software en hun software alleen for good gebruikt wordt en dat het niet in verkeerde handen kan vallen. Het laat ook zien dat wat de NSA kan met backdoors vroeg of laat iedereen het kan.
Als je poort 445 dicht hebt staan is er ook niet veel aan de hand.

Je kan hier testen .
http://www.yougetsignal.com/tools/open-ports/
Sowieso SMB protocol open knallen op je firewall waarom zou je dat überhaupt doen
Naja, wat ze natuurlijk doen is een virus maken in word/pdf of weet ik het wat, dan mailen als nieuwe spam run en dan hopen dat die op een netwerk binnenkomt. Want interne netwerken staan wagenwijd open met smb :)
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

In de powershell
Mja, je kan ook alle netwerkverbindingen afsluiten, is ook een technisch mogelijke oplossing. Maar gebruikers hebben vaak toch de neiging hun computer te willen kunnen gebruiken. ;)
Ik heb geen verstand van Windows of Powershell maar van wat ik van dat commando begrijp wordt alleen smb versie 1 disabled. Ondertussen zijn er al een smb 2.x en 3.x bij gekomen dus ik verwacht dat alleen XP gebruikers last zouden kunnen ondervinden van het uitzetten van smb1 (en XP hoor je sowieso niet meer aan het internet te hangen).

https://en.wikipedia.org/wiki/Server_Message_Block#SMB_2.0
Als ik het zo lees betreft de gebruikte definitie van een implant de daadwerkelijke payload, ofwel 'lading'. Die lading wordt op een machine geplaatst na uitbuiting van een exploit, ofwel, kwetsbaarheid. De lading kan bestaan uit een virus, een root-kit, een worm, een ddos tool of simpelweg een kattenplaatje die je slachtoffer ineens als achtergrond krijgt.

De exploit kun je zien als een raket en de implant/payload als het wapen dat de raket aflevert op de plaats van bestemming.

De bewoording implant in plaats van payload suggereert bij mij dat het gaat om een stuk software dat ongezien achter blijft in een systeem. Dat zal waarschijnlijk in de vorm van een root-kit of een trojan zijn, of een combinatie van beide. Wat dat betreft is de Nederlandse vertaling 'implantaat' behoorlijk spot-on ;)


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*