Examenklacht-site van LAKS lag plat door WannaCry-ransomware

De server van de site Examenklacht van het LAKS werd donderdag gegijzeld door de ransomware WannaCry. De organisatie heeft geen losgeld betaald om de bestanden terug te krijgen, maar heeft een back-up op een andere server geplaatst.

Examenklacht.nl was donderdagmiddag offline door toen nog onbekende oorzaak. Donderdagavond maakte het LAKS bekend te werken aan een oplossing; scholieren konden klachten over examens telefonisch doorgeven, was het advies. Vrijdagochtend liet de organisatie daarop weten slachtoffer van een aanval te zijn, maar alle data nog te hebben.

In de middag kwam Examenklacht weer online. Tegenover het AD bevestigt de organisatie dat het inderdaad om een WannaCry-besmetting ging en dat er niet betaald is om de bestanden weer vrij te krijgen. "We hebben gelukkig een back-up van alle klachten over de schoolexamens van dit jaar. Die zijn vanochtend op een andere server gezet", aldus een woordvoerder.

Dat de systemen besmet konden raken, betekent dat de servers een Windows-versie draaiden en dat de beheerders deze nog niet van een patch hadden voorzien. Op dit moment draait Examenklacht op de IIS 10.0-webserver van Windows Server 2016. Microsoft voerde de patch die bescherming biedt tegen WannaCry in maart door voor deze Windows-versie, maar niet bekend is op welke versie de klachtensite voorheen draaide.

IT-banen

Reacties (82)

BSOD baby 19 mei 2017 16:27

Gelukkig was het "maar" een klachtenwebsite maar zoals te merken is komt het (risico) toch wel steeds dichter bij de doorsnee mens te staan. Ik heb wel een oprechte vraag waar ik even zelf niet uit kan komen (onder andere omdat ik zelf nog niet in een bedrijf werk). Waarom zijn zulke updates zo schijnbaar moeilijk uit te voeren? Ofwel waarom gebeurt dit niet gewoon standaard 1 keer per week? Ik snap dat het hinder kan veroorzaken maar zo moeilijk kan het toch niet zijn? Update, rebooten en applicaties weer aan zetten. Snap oprecht niet waar het probleem zich in bevind. In de hoeveelheid computers die een bedrijf heeft?

HyperBart @BSOD baby • 19 mei 2017 16:47

Daarenboven moet je als beheerder van die servers vaak ook even iets verder kijken dan alleen je eigen stukje. Op servers draaien nu eenmaal applicaties, die applicaties zijn niet altijd dingen zoals IIS of Hyper-V, waar MSFT doorgaans goed zijn tests op doet maar ook 3rd party applicaties. Losstaand of het van MSFT of 3rd parties is moet dit eerst door een straatje van OTAP gaan.

Die doorlooptijd van ieder zuiltje in OTAP verschilt heel hard per klant. Een mooie middenweg voor een groot deel van de Belgische bedrijven vind ik een week per straat, dan loop je maximaal een maand achter (als alles goed gaat) en *EIGENLIJK* zou ieder bedrijf er in moeten slagen om dat op die manier te kunnen doen, ok misschien niet voor alle applicatie-silo's maar het is toch al een goede start om daar op te mikken.

En tot slot: niet iedere organisatie (ook al zijn ze soms zeer publiek visible) heeft de permanente resources op stal staan en de technische infrastructuur om dit geautomatiseerd uit te rollen... Laat staan de nodige redundantie in sommige platformen waardoor je soms HEEL moeilijk downtime kan vragen... En dat is triestig, maar wel de realiteit waar je op verschillende niveau's de nodige mensen in beweging moet kunnen zetten om dat te veranderen...

Robo400 @HyperBart • 19 mei 2017 17:04

De OTAP straat is wat je inderdaad in veel organisaties terug ziet komen, met vaak een week per straat. Er zou echter, voor patches met een hoge prioriteit (en het lijkt me dat de patch die het lek dat WanaCrypt mogelijk maakt, fixt, zo'n patch is) een shortcut moeten zijn, waarbij de patch binnen een week geïnstalleerd wordt. Voor zover ik weet geldt voor Overheidsinstanties de Baseline Informatiebeveiliging Rijksdienst (BIR), waar een norm van één week in staat voor hoge prioriteit patches. Lijkt me dat private organisaties deze norm ook aan moeten kunnen houden.

dormamu @Robo400 • 19 mei 2017 19:56

Patches verlopen meestal niet via OTAP. Omdat hier niet sprake is van een functionele wijziging lopen patches meestal uitsluitend door AP.

Robo400 @dormamu • 20 mei 2017 19:21

Akkoord, security patches lopen inderdaad niet door de O en T stappen heen.

thof

@Robo400 • 20 mei 2017 18:43

Als aanvulling de betreffende passage uit de BIR, paragraag 12.6.1:

4. (R) Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de schade hoog is worden zo
spoedig mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiligings-updates/patches moeten
worden ingepland bij de eerst volgende onderhoudsronde

Bron: https://www.nationaleombu...IR_TNK_1_0_definitief.pdf

Robo400 @thof • 20 mei 2017 19:21

Dank

Ebayzo @johnkeates • 20 mei 2017 08:35

Och heb je weer een Unix fanboy hoor. "Meeste servers draaien geen Windows" en "Windows admins zijn maar prutsers". Je reactie is pure onzin en dat weet je.

Owain94 @johnkeates • 20 mei 2017 18:33

Ransomware is dan ook niet op servers gericht want daar is de kans groter dat er backups aanwezig zijn. En Linux vs Windows, OpenSSL fouten vs ransomware? Niks is perfect dus of je nou Windows server of een Linux server draait er kan altijd wel wat fout gaan. Betekend niet dat je meteen een prutser bent als je een Windows server draait.

johnkeates @Owain94 • 20 mei 2017 18:36

Ik stel ook niet dat dat automatisch het geval is, maar dat desktop services op een server je dus ook vatbaar maken voor malware die niet eens op je server gericht is. Als je dus om te beginnen al je server als server gebruikt en niet als desktop-met-server-icoontjes, dan help je jezelf al meteen standaard desktop malware buiten te houden.

kakanox @johnkeates • 20 mei 2017 23:22

Een GUI is een interface, net als een CLI dat is (misschien merk je de I aan het eind op, die duidt op dat woordje).

Wat voor interface je gebruikt is totaal irrelevant, net als het gekozen OS.
Goede beveiliging valt of staat met:
- niet meer open zetten dan je voor beheer en aan functionaliteit nodig hebt;
- bijblijven met je patches;
- inlichtingendiensten hebben die beveiligingsproblemen wél direct doorgeven, i.p.v. onwijs arrogant te zijn en te denken dat zij de enigen zijn die een issue kunnen vinden.

Zowel Windows als Linux als OSX als HP-UX en whatever else zitten vol gaten. Je kan niet iets bouwen dat dusdanig complex is en er geen bugs of exploits in hebben (daarbij vertrouwend op een compiler die ook bewust of onbewust van exploits voorzien kan zijn, die dan weer invloed hebben op de betrouwbaarheid van de software).

Het is vooral belangrijk dat die fouten gevonden en gefikst worden.

johnkeates @kakanox • 21 mei 2017 00:07

Ik doel dus op het feit dat windows-malware die voor windows-desktop geschreven is ook op windows-server werkt zolang die server GUI elementen start. Niet GUI vs. CLI, Windows vs. Linux o.i.d.

Het probleem zit hem niet de GUI specifiek, maar in de combinatie van "server als desktop beheren" en "desktop-dependant malware".

Qua admins (beheerders dus) gaat het ook niet zo zeer om goed/slecht, windows/linux en gui/cli, maar mensen die weten wat ze aan het doen zijn. Zomaar wat lijstjes afwerken en op knopjes drukken kan iedereen wel, maar echt weten hoe iets werkt, en vooraf al weten wat je gaat doen, hoe je het gaat doen, en wat het resultaat zal zijn zie je niet heel veel bij mensen die voornamelijk op plaatjes drukken. Het is niet dat het niet kan, maar eerder dat iemand die z'n configuratie management en applicatie lifecycle zit uit te dokteren toch niet echt een server als desktop misbruikt. Natuurlijk zijn er allemaal edge cases waarbij een vendor verplicht een GUI wil maken voor een closed source stuk software met een harde dependency naar explorer, dwm, of een ander stuk desktop software, maar van een random webserver zoals van het LAKS mag je toch wel verwachten dat het of goed gedaan wordt of uitbesteed, en niet op de PC van iemand die toevallig nog een DreamSpark licentie over had voor Windows Server.

[Reactie gewijzigd door johnkeates op 29 juli 2024 22:17]

kakanox @johnkeates • 21 mei 2017 10:23

Dan ben je dus een aanhanger van security through obscurity. Volgens mij is er al geen discussie meer over dat dat niet werkt :-) Anders zou Linux het ook niet zo goed doen terwijl alle broncode voor iedereen te lezen is.

Overigens heeft dit virus niks te maken met een desktop interface. Moet ook zeggen dat ik eigenlijk geen Windows Server omgeving ken waarbij de serveromgeving ook gebruikt werd om te browsen/mailen/etc. (en ik heb best wat klanten gehad die Windows Server draaiden).

Ken eigenlijk ook geen beheerder die netstat -a niet kent en gebruikt.

M.b.t. LAKS, ik had het er elders al over: Waarschijnlijk is poort 445 open gezet op die machine. Had niet gemoeten, maar zo gaat dat soms, mensen maken fouten.

Kiswum @BSOD baby • 19 mei 2017 16:35

Niet elke update is geschikt voor alle software/systemen. Een beveiligingsupdate zou ik als bedrijf zijnde maandelijks laten draaien, maar niet automatisch, maar handmatig (bijvoorbeeld 1 week na patch Tuesday en op secundaire servers). Als je updates automatisch installeert, dan heb je er geen controle over. In elke update kunnen fouten zitten en die wil je niet in je productie omgeving hebben.
Naast beveiligingsupdates heeft Microsoft ook een aantal andere updates, zoals driver updates. Vooral met drivers moet je oppassen, doordat daardoor je server/systeem mogelijk niet meer werkt en je en recovery uit moet voeren. Dit soort updates kun je het beste 1 voor 1 uitvoeren.

Dat bedrijven 2-3 maanden achterlopen is niet verstandig, maar soms wel begrijpelijk. Doordat het nu al een week in het nieuws is, had dit de hoogste prioriteit moeten krijgen bij alle organisaties en ICT medewerkers.

sprankel @Kiswum • 19 mei 2017 22:47

Niet elke update is geschikt voor alle software/systemen => als je een update pusht die niet applicable is zoals dat noemt dan zal deze simpelweg niet installeren ofwel kan geen kwaad.

Een beveiligingsupdate zou ik als bedrijf zijnde maandelijks laten draaien => fout, hoeveel updates en wanneer je updates uitrolt hangt af van de updates zelf. Als er een kritische security update uitkomt kan zelfs beslist worden deze onmiddellijk met urgentie uit te rollen.

Als je updates automatisch installeert, dan heb je er geen controle over. => klopt, daarom rollen system admins deze niet automatisch uit, daarvoor gebruiken we WSUS die ons volledig controle geeft. WSUS integreert ook perfect met SCCM.

In elke update kunnen fouten zitten en die wil je niet in je productie omgeving hebben. => daarom werk je met pilot groups, een update gaat eerst naar pilot 1, dan naar pilot 2 en uiteindelijk word hij full scale uitgerold. Dit kan perfect in een 3 dagen doorloop tijd.

Naast beveiligingsupdates heeft Microsoft ook een aantal andere updates, zoals driver updates => WSUS geeft je volledige controle over je updates, ik heb nog nooit geweten dat iemand zijn WSUS driver updates laat uitrollen tenzij er een specifieke vraag voor is. Feature updates worden vaak ook niet binnengehaald.

Dat bedrijven 2-3 maanden achterlopen is niet verstandig, maar soms wel begrijpelijk. => dat is helemaal niet begrijpelijk. Dat wijst erop dat ze security niet serieus nemen zoals de meeste bedrijven. En pas als ze het eens goed op hun bek gaan passen ze dit aan.
Bedrijven die het niet nodig vinden updates uit te rollen? check, bedrijven die het niet nodig vinden om hun servers van updates te voorzien? check, bedrijven die hun mail niet fatsoenlijk beveiligen? de overgrote meerderheid.
Ik kom het allemaal tegen en het is altijd hetzelfde verhaal, ze vinden het niet belangrijk maar als ze vervolgens plat gaan roepen ze moord & brand.

kakanox @sprankel • 20 mei 2017 23:28

Natuurlijk kan dat niet perfect in 3 dagen doorlooptijd. Je gaat er gemakshalve even vanuit dat updates alleen naar werkstations gaan.

Op het moment dat je servers gekoppeld zijn met de halve wereld en hun zusjes piep je wel anders. Er komt bijna geen update voorbij dat er niets omvalt. Dat kan je dan weer op gaan lossen met de (ook nog weleens incompetente) systeembeheerders van partners, of - nog erger - directeurs die van mening zijn dat wij het veroorzaakt hebben en wij het dus ook maar gewoon op moeten lossen. Aan beveiliging heeft men geen boodschap tot hun gegevens op straat liggen zeg maar.

Ik ben echt van mening dat updates belangrijk zijn, en we hanteren dan ook een strak updatebeleid in mijn team, maar het valt me wel op dat veel Tweakers (systeembeheerders?) in hun virtuele ideologie leven waarin bedrijfsbelangen onderschikt zijn aan systemen.

Welcome to the real world, waar directies bezuinigen op een investering in Windows 10 vanaf 7, of 2016 vanaf 2008, want "het werkt toch prima?!"

sprankel @kakanox • 21 mei 2017 01:17

Laat ik even mijn ervaringen delen binnen een bedrijf waar ze net begonnen waren met updates uit te rollen.
Windows clients werden voorzien van updates maar ze misten er nog een stuk, voor office updates was het een ramp. Oorzaak was dat er geen baseline was en kennis ontbrak van SCCM. Bijvoorbeeld ging men ervan uit dat office overal op SP1 draaide terwijl dit niet het geval was, tal van updates die niet geïnstalleerd werden daardoor maar wel als ok gerapporteerd worden in SCCM.

1 toepassing is down gegaan, een macro die ooit iemand had geschreven, de code was om te janken. Wie dat juist geschreven had konden ze niet eens vertellen.

Dan had ik nog een reeks clients die als embeded system gebruikt werden maar met een gewone Windows in de achtergrond. Die liepen 5 jaar achter, SCCM/WSUS wilde ze niet updaten omdat hij niet overweg kon met de antieke versie van windows update agent. Na deze overal manueel te installeren (had ik wel een scriptje voor geschreven), deze 1 per 1 volledig laten updaten (was hij uiteraard wel even zoet mee). Voor de rest geen issues mee gehad.

Dan hadden we de servers, draaiden ook zonder enige update en liepen jaren achter. Deze zijn 1 per 1 volledig up to date gezet, echter werd er stuk voor stuk downtime voorzien zodat de productie geen impact had. Enigste issue dat we daar tegenkwamen is dat ze na een herstart niet deden wat ze moesten doen omdat het simpelweg niet deftig ingesteld stond. (bijvoorbeeld een service die moest opstarten onder een ander account van welke het wachtwoord veranderd was). Buiten hier en daar een minor hickup geen problemen mee gehad.

Let wel dat we enkel de security updates gepusht hebben, ik kan mij inbeelden dat bijvoorbeeld een 2008 naar 2008R2 upgrade meer vonken zal geven.

En ik snap wel dat er systemen down kunnen gaan bij updates maar laten we eerlijk zijn, dat zijn dezelfde systemen die je slapeloze nachten geven als je het functioneel niveau van je domein verhoogt of als je een migratie moet uitvoeren. Systemen/software gebouwd zo goedkoop mogelijk en met zo min mogelijk controle en doorgaans weinig of geen documentatie. De leverancier trekt er dan zijn handen vanaf want een migratie valt niet onder het support contract als er al een support contract is. Of de leverancier speelt de kaart dat bij de aanbesteding enkel Windows versie x gevraagd werd en dat ze een nieuwe aanbesteding willen. Of de leverancier geraakt zelf niet uit aan zijn rommel en de programmeur van dienst werkt er niet meer, de overige programmeurs geraken er ook niet aan uit vanwege jankende code & zero documentatie.
Nog een optie is, en dan weet je dat je goed prijs hebt, een paar jobstudenten hebben dat geschreven/ het was een eindwerk. De broncode? die staat ergens op mijn oude laptop. Been there done that, ik heb er allemaal al lang geen compassie meer mee.

En dat directie/management daar in de real world op bezuinigen weet ik maar al te goed, het motto als het maar werkt staat heel hoog aangeschreven. Echter als directie/management tot inzicht is gekomen sta ik volledig open om mee te werken aan oplossingen en om het roer om te draaien.

Aan het bedrijf dat mij polste om in te huren nadat ze massaal door Wannacry aangevallen zijn geweest, voornamelijk clients, heb ik het volgende geantwoord.
Het feit dat u door dit virus aangevallen bent geweest wijst er op dat u minstens een maand achterloopt, mogelijks langer, met critical security updates. Dat wijst op zijn beurt erop dat er iets fundamenteel mis zit in u IT omgeving en dat bij nader onderzoek de kans groot is dat er andere fundamentele problemen naar boven zullen komen, ik denk dan aan de group policies, rechten structuur, software catalogus, procedures en meer.
Ik wens enkel in te gaan op dit aanbod als u mij de zekerheid geeft dat zowel management van IT als de directie bereid zijn deze fundamentele problemen onder ogen te zien en bereid zijn hier de nodige inspanningen voor te leveren. Zonder hun medewerking zal ik niet in staat zijn mee te werken aan de nodige, fundamentele, wijzigingen.
Laat ons zeggen dat het heel stil werd aan de overkant, blijkbaar was wannacrypt nog niet voldoende en zochten ze nu snel snel wat expertise om ervoor te zorgen dat de directie gekalmeerd werd en dat het zo snel mogelijk weer business zoals usual was. Zoals ik al zei, ik heb er al lang geen compassie meer mee.

kakanox @sprankel • 21 mei 2017 10:29

Ik ben het helemaal met je eens sprankel :-)

Gelukkig zit er in mijn begroting gewoon een fulltime senior systeembeheerder en worden investeringen als penetratietesten etc. gewoon zonder morren goedgekeurd, als ik maar kan onderbouwen dat het nodig is.

Hoewel we koortsachtig toch nog even alles nagelopen hebben op de dag dat het nieuws over WanaCry bekend werd (je weet maar nooit...), was alles up to date en naar behoren ingesteld.

Floks @BSOD baby • 19 mei 2017 16:41

Vaak werken bepaalde software dan niet meer en moet er voor die software ook weer updates gemaakt worden.

Vaak willen bedrijven eerst de patches testen voor bepaalde redenen.

In het geval van Laks verwacht ik dat er een systeemberheerder achter zit dit meerdere systemen heeft. Of een klein bedrijfje, wat systeem-onderhoud doet voor Laks.

Weet niet wat de afspraken zijn en of er service contracten zijn.

[Reactie gewijzigd door Floks op 29 juli 2024 22:17]

Stijn Weijters @BSOD baby • 19 mei 2017 17:19

Maar een klachtenwebsite?!!! Ik zit in de eind examen klas en laks is de plek om te "zeuren" zodat er iets veranderd kan worden... dus nee niet zomaar een klachtenwebsite, een hele belangrijke website voor alle examen leerlingen in nederland! (Raar dat ze de klachten eigenlijk niet via scholieren.com kunnen laten verlopen aangezien deze al samenwerken.)

flaskk @BSOD baby • 19 mei 2017 22:05

Als het ALTIJD alleen updaten rebooten en weer vlammen is, geen probleem

Maar heel af en toe is er een update die problemen geeft, en dat kost tijd, frustratie en vooral een hoop geld.

xalvo 19 mei 2017 16:31

Examenklacht.nl was donderdagmiddag offline...

Vrijdagochtend liet de organisatie daarop weten slachtoffer van een aanval te zijn, maar ALLE data nog te hebben.

Puike bewering, zeker als je 'een backup terugzet', zal dan wel een realtime backup moeten zijn...en daar heb ik zo mijn twijfels over

Edit n.a,v, reacties over databases en scheiding data/presentatie, de bewoording

"We hebben gelukkig een back-up van alle klachten over de schoolexamens van dit jaar. Die zijn vanochtend op een andere server gezet"

geven m.i. aan dat hiervan geen sprake is, hij heeft het over een backup van de klachten.

[Reactie gewijzigd door xalvo op 29 juli 2024 22:17]

tc-t @xalvo • 19 mei 2017 16:40

[...]Puike bewering, zeker als je 'een backup terugzet', zal dan wel een realtime backup moeten zijn...en daar heb ik zo mijn twijfels over

Ik heb geen idee waar die ransomware zich op richt, maar als bv. database files niet getarget worden, dan kan het best zijn dat die gewoon intact is, en dat enkel een backup van de rest van het systeem teruggezet moet worden.

Of als ze SQL Server gebruiken, dat kan gewoon ingesteld worden dat die elke uur (of elk kwartier, elke 5 minuten, ...) een dump maakt.
(En met elk ander database programma zal iets soortgelijk wellicht ook wel kunnen)

Dus het kan BS langs hun kant zijn, maar het kan evengoed waar zijn.

[Reactie gewijzigd door tc-t op 29 juli 2024 22:17]

jugger naut @tc-t • 19 mei 2017 16:48

Het lijkt zich ook op database bestanden te richten. bron

Verwijderd @jugger naut • 19 mei 2017 17:25

In die bron vind ik alleen een paar file-extensies die door sommige databases worden gebruikt, maar niets dat wijst op een database-specifieke aanval. In elk geval gebruiken MySQL, etc. allemaal andere extensies dan wat je daar in dat lijstje ziet staan.

mmjjb @Verwijderd • 19 mei 2017 18:44

Niets dat wijst op een database-specifieke aanval?

Volgens mij heb je er een paar gemist...

"The filetypes it looks for to encrypt are:"
mdf, .ldf (o.a. Microsoft SQL Server)
.accdb / .mdb (Microsoft Access Database)
.sqlitedb, .sqlite3 (SQLite DB)
myi, .myd, .frm, .sql (o.a. MySQL)

Meerdere database servers staat er anders gewoon tussen.

In elk geval gebruiken MySQL, etc. allemaal andere extensies dan wat je daar in dat lijstje ziet staan.

Dat is dus niet het geval, het virus richt zich net zo goed op database servers!

[Reactie gewijzigd door mmjjb op 29 juli 2024 22:17]

eborn @mmjjb • 19 mei 2017 19:20

Maar er zullen maar weinig partijen zijn die hun MySQL databestanden op zo'n manier open zetten dat wannacry daar effect op kan hebben. Meestal draaien die systemen toch gewoon linux zonder smb mappings.

mmjjb @eborn • 19 mei 2017 19:35

Wannacry is ook niet gemaakt voor Linux systemen.

Dus we hebben het over Windows systemen, en daarbij probeert het dus ook zeker database bestanden te encrypten, of het lukt is een ander verhaal.

Maar in veel gevallen is tot nu toe gebleken dat wannacry genoeg rechten heeft om een flinke schade aan te richten.

En mijn punt was dat het zich dus net zo goed op (Windows) database servers richt

[Reactie gewijzigd door mmjjb op 29 juli 2024 22:17]

mrdemc @tc-t • 19 mei 2017 20:16

Klopt, op transactieniveau zelfs en automatisch (encrypted) naar een Azure storage. full backup, differential en transactional. Echter is de kans groter dat ze een backup van de applicatie hebben gerestored en de database server nog intact was. Daarnaast vind ik het wel vreemd dat een webserver hierdoor besmet kan raken. Staat er dan een SMB link open op een ander netwerk of het internet? Of heeft iemand via de webserver mails geopend of een website geopend? Vind het wel een vreemd verhaal...

[Reactie gewijzigd door mrdemc op 29 juli 2024 22:17]

SED @mrdemc • 20 mei 2017 00:05

Ongepatchte server, amateurisme dus waarschijnlijk op diezelfde server ook client handelingen uitgevoerd.
Post ophalen met client, websurfen allemaal op de server. iets wat je helaas wel vaker ziet bij dit soort clubjes.

iceheart @SED • 20 mei 2017 01:32

Of gewoon teveel poorten extern open hebben staan (errug slordig) en SMB niet uit hebben staan op een webserver (afhankelijk van de opstelling ietwat slordig tot volstrekt noodzakelijk).

Vergeet niet: dit is geen doorsnee ransomware attack. Het is *niet* gewoon op een verkeerd linkje klikken, het is juist een vulnerability in een protocol waardoor je zonder wat voor user rights dan ook arbitraire code kunt uitvoeren op een systeem waar je alleen maar een netwerk share (poort/protocol - je hoeft niet eens rechten op een share te hebben) hoeft aan te spreken om daartoe te komen.

Dit is lang niet zo'n 'lullige' "je zult wel iets doms hebben gedaan" besmetting als een doorsnee ransomware attack dat is.

Munters @xalvo • 19 mei 2017 16:50

Ze hebben alle data nog. Alleen versleuteld.

ShadowBumble @xalvo • 19 mei 2017 17:06

Puike bewering, zeker als je 'een backup terugzet', zal dan wel een realtime backup moeten zijn...en daar heb ik zo mijn twijfels over

Waarom bij een beetje fatsoenlijk web app heb je Presentatie / Applicatie en Database lagen gescheiden. Waarin je enkel communicatie toestaat van presentatie naar applicatie en applicatie naar database.

Het kan dus een aannemelijke situatie zijn dat alleen de presentatielaag getroffen was.

Resultaat website onbereikbaar en down maar Data intact immers de database laag niet geraakt.

[Reactie gewijzigd door ShadowBumble op 29 juli 2024 22:17]

KopjeThee @xalvo • 19 mei 2017 17:01

Misschien hebben ze het losgeld betaald

kakanox @xalvo • 20 mei 2017 23:35

Puike bewering, zeker als je 'een backup terugzet', zal dan wel een realtime backup moeten zijn...en daar heb ik zo mijn twijfels over

Bij besmetting van de databaseserver: Als je MSSQL draait en je hebt full recovery aan staan (wat volgens mij standaard zo is) snap ik niet hoe dit programma überhaupt wat kan versleutelen zolang je servert online is.

Ik kijk zojuist even op mijn eigen server, de datum- en tijd van de database zijn van afgelopen vrijdag (de laatste reboot). SQL Server (2014) houdt die bestanden dus open, dus hoe kan je dan een lock krijgen?

Daarbij, mits een beetje fatsoenlijk ingericht is die database server niet bereikbaar vanaf het internet (wat ik wel verwacht, want persoonsgegevens). Dan heb je de webserver(s) in DMZ en de database server veilig achter de firewall, met (in een MS omgeving) SPNs ingericht die alléén de databasegebruiker vanuit IIS verbinding laten maken met de DB.

Gevolg: Bij geïnfecteerde webserver(s) een platte website en een DB die prima intact is. Gebruik je dan een tool waarmee je de complete server incrementeel backupt, dan kan je dus idd een backupje terugfietsen et voila.

[Reactie gewijzigd door kakanox op 29 juli 2024 22:17]

pauldaytona 19 mei 2017 16:27

Normaal staan automatische updates bij 2016 toch aan? Of op z'n minst word het je gevraagd. Maar misschien draaide het eerst op wat anders.

maquis @pauldaytona • 19 mei 2017 16:30

Doorgaans word er op servers een ander updatebeleid gevoerd dan op gewone desktop machines met windows besturingssystemen. Niets beroerder als op het moment dat je servers beschikbaar moeten zijn, dat deze een update staat uit te voeren.

Mentox @pauldaytona • 19 mei 2017 16:33

De vorige server was blijkbaar niet Server 2016.

EYEVO @pauldaytona • 19 mei 2017 16:47

De update zorgt er alleen voor dat de ransom-ware niet verspreid via het netwerk(SMB protocol).

Daniel_Elessar @pauldaytona • 19 mei 2017 18:09

Dat laat je in een bedrijfsomgeving normaal via een 'Windows service update server'> WSUS lopen. Dat is een rol die je kunt geven aan een server zodat je via dat stuk alle updates kunt beheren en pushen als dat nodig is. Ook tegenhouden is dus een optie.
Maar dan moeten alle computers natuurlijk wel in dat domein zitten

Dat is een zeer handige en relatief simpel in gebruikt zijnde service die ook al in voorgaande edities zat.

Soms kunnen updates voor miserie zorgen omdat een applicatie die je gebruikt ineens niet meer werkt. Dat is de reden dat veel bedrijven terughoudend zijn met updates. Ook werken sommige apparatuur niet op nieuwere versies omdat..? Maar goed, mooi dat ze dit relatief snel konden oplossen en dat ze een goede backup strategie hadden van de informatie database die ze hadden.

lololig @pauldaytona • 19 mei 2017 17:22

Alleen bij home en pro gebruikers, alle andere kunnen gewoon kiezen wanneer welke updates gedraaid moeten worden gelukkig. Anders zouden bedrijven nooit win 10 willen gebruiken, veel te veel kans dat een crappy update je systemen plat legt

koku Senior Developer 19 mei 2017 16:24

Knap dat je na alle berichten in de media je servers nog niet hebt ge-update

goarilla @koku • 19 mei 2017 16:27

Aan de andere kant ... zij hebben backups (high-five).

Yucko @goarilla • 19 mei 2017 16:37

en jij gelooft dat er totaal geen data/klacht verloren gegaan is?

Cis @Yucko • 19 mei 2017 19:37

Er bestaan Storage oplossingen die op transactieniveau snapshots maken. Een soort incrementeel opslagsysteem dus. En dat betekent dat je naar iedere (micro)seconde kan reverten. Dus ja: dan verlies je geen data.

Yucko @Cis • 19 mei 2017 19:46

ergens geloof ik niet dat mensen die niet (vaak genoeg) updaten/patchen, wel een oplossing hebben zoals jij hier nu aangeeft

maar goed, ze hadden in ieder geval iets waardoor ze niet(s) (alles) kwijt zijn.

SinergyX @Yucko • 19 mei 2017 16:51

Afhankelijk hoe het is opgeslagen, als het een aparte database is, is het puur de IIS server die kapot is gegaan, maar de opgeslagen data is dan gewoon veilig.

goarilla @Yucko • 19 mei 2017 16:56

Ooh jawel maar als het goed zit is is enkel de nieuwste data verloren (met een acceptabele definitie van nieuwste) en voornamelijk onbelangrijke volatiele data.

uubee @Yucko • 19 mei 2017 17:59

In een multi-tier oplossing is er bij aanval van alleen de Web Frontend, welke als het goed is in een DMZ staat, niks verloren gegaan als dat de enige server is die is aangevallen.

Ik zie wel eens implementaties dat een Database Server + local file repository in de zelfde laag staan, maar dat is dus vragen om problemen. Data en presentatie dient altijd gescheiden te zijn, zowel fysiek als logisch. Dus een DMZ met Data server is een 2 zone-dmz (Frontend/backend) waartussen een firewall staat.

.pointer @koku • 19 mei 2017 16:45

Ik denk dat dat op grote schaal tijdens de tijd dat dit beschikbaar moet zijn, veel vertraging en misschien onbereikbaarheid oplevert...

mrdemc @.pointer • 19 mei 2017 20:18

Blijkbaar hadden ze de beschikking over nog een server waar de site nu op draait. Dat hadden ze ook seamless kunnen doen en vervolgens die andere volledig updaten.

M8T66 @mrdemc • 19 mei 2017 22:11

Nee, dit is een aanname die je niet zomaar kunt maken.
Misschien is het management bereid geweest meer geld uit te geven na de infectie, hebben ze meerdere diensten nu op 1 server draaien of hebben ze een andere dienst tijdelijk offline moeten halen om aan deze resources te komen.
En misschien gebruiken ze wel technieken waardoor het 'Seamless' over gaan helemaal niet zo makkelijk is.

memphis @koku • 19 mei 2017 16:52

Onduidelijk of die lui zelf het beheer doen of dat het gewoon een fout van de hosting provider is. Indien dat laatste zullen er meer sites down geweest zijn.

jugger naut 19 mei 2017 16:30

De website lijkt op dit moment overbelast te zijn. Misschien de configuratie niet goed overgenomen

WhatsappHack

Netwerk en systeembeheer

@jugger naut • 19 mei 2017 16:36

Of misschien een mindere server. Of gewoon verhoogde traffic door alle mediaaandacht én scholieren die alsnog de klachten willen doorgeven nu t weer online is/was.

Verwijderd @WhatsappHack • 19 mei 2017 17:36

Gisteren was er scheikunde voor de VWO'ers en dit examen was behoorlijk anders dan velen hadden verwacht (ook ik vond em wat vreemd). Doordat LAKS offline was, kon niemand direct na scheikunde klagen (iets wat normaal gesproken wel gebeurd).

Ik denk nu dus dat de website plat ligt, doordat veel scholieren hun klachten van gister én van vandaag in één keer willen melden, waardoor het mis gaat.

Vorige week woensdag na Nederlands voor VWO lag de website namelijk ook al plat, door een teveel aan klagende leerlingen.

On-topic: het is toch eigenlijk te zot voor woorden dat dit nu nog gebeurd... Deze ransomware is nu ongeveer een week actief, en de ICT-beheerder daar heeft nog steeds niet de benodigde patch geïnstalleerd.

Je zou zeggen dat een instelling als LAKS niet super groot is en dat alle systemen updaten niet zo moeilijk moet zijn... Laat het dan ook voor LAKS aub een les zijn.

Verwijderd 19 mei 2017 16:24

Te laks met updates doorvoeren?

dutchgio @Verwijderd • 19 mei 2017 17:34

Te makkelijk...

Het is ook la(ks)chwekkend dat het notabene een week nadat de eerste aanval soort van 'viral' ging en het nieuws opblaasde, je de updates nog niet hebt geinstalleerd....
Gelukkig hadden ze het qua backups wel goed ingeregeld.

Bubbaman 19 mei 2017 17:25

Ach ja... Zelfs het beheer is "LAKS"... Waarschijnlijk zijn die beheerders gezakt voor hun ICT-examens?

WOteB2 @Bubbaman • 19 mei 2017 18:44

[heel flauw modus] Voor Nederlands ook, Comité schrijf je met een C en niet met een K. Zou dus eigenlijk LACS moeten zijn. [/heel flauw modus]
Maar inderdaad, men heeft een aantal dingen onderschat en is nu slachtoffer van nalatig systeembeheer geworden.

Verwijderd 19 mei 2017 17:29

Wel een beetje laks van LAKS

winux 20 mei 2017 09:34

Dat de systemen besmet konden raken, betekent dat de servers een Windows-versie draaiden en dat de beheerders deze nog niet van een patch hadden voorzien. Op dit moment draait Examenklacht op de IIS 10.0-webserver van Windows Server 2016. Microsoft voerde de patch die bescherming biedt tegen WannaCry in maart door voor deze Windows-versie, maar niet bekend is op welke versie de klachtensite voorheen draaide.

MS17-010 security bulletin is alleen de patch voor het lek in de SMB service. Deze beschermt op zich zelf niet tegen welke vorm van ransomware. Alleen tegen de verspreiding van de ransomware binnen het netwerk. (Of eventuele benadering wanneer deze naar buiten open staat)

Een besmetting van ransomware kan op meerdere manieren gebeuren. Beetje kort door de bocht om te zeggen dat de systemen niet gepatcht zijn. Hooguit dat ze wat onhandig/onvoorzichtig zijn geweest.

Jorn 19 mei 2017 16:57

Wat ik mij nog steeds afvraag, waarom zijn er zoveel servers zijn die smb filesharing naar het internet open hebben staan?
Ik kan me eigenlijk geen toepassing bedenken waarvoor dit noodzakelijk is, als je remote smb nodig hebt is vpn toch de oplossing.

KeesAlderlieste @Jorn • 19 mei 2017 17:02

Is dat de enige manier van verspreiden van WannaCry? Gezien de mate van besmetting vorige week kan ik me dat haast niet voorstellen, hoeveel hebben nou echt SMB open staan? Ik las ergens anders dat mails ook gebruikt werden.

Jorn @KeesAlderlieste • 19 mei 2017 17:10

Wat ik overal zo heb gelezen wel voor de initiële infectie, daarna scant een geïnfecteerde pc zowel in het lokale netwerk alsook een aantal ip-addressen op internet.
Maar via de mail e.d. volgens mij niet.

King008 @Jorn • 19 mei 2017 17:15

Juist wel, het verspreidt zich initieel via de mail en zoek vervolgens op geïnfecteerde systemen door naar smb. Hierdoor komt het op het hele interne netwerk terecht waar het normaal maar een paar PC's zou betreffen.

alt-92 @Jorn • 20 mei 2017 10:05

Ik gok op een brute-force RDP als initiele aanvalsvector, of een van die fijne vrienden die zn ongepatchte laptop aan het zelfde netwerk heeft gehangen om de reacties uit de DB te exporteren.

iceheart @Verwijderd • 20 mei 2017 01:36

Hey. genoeg redenen waarom een webserver bestanden op een netwerk share in hetzelfde LAN zou hebben, afhankelijk van wat je er op doet. Optimaal? Misschien niet. Misschien ook wel, afhankelijk van toepassing. Stuk betaalbaarder dan allerlei perfect op maat gemaakte oplossingen voor een probleem waar het gewoon niet nodig is - en iets als SMB hoort gewoon te werken, en hoort gewoon veilig te zijn en voor zoiets gebruikt te kunnen worden.

Ik zeg niet dát dat het geval zou zijn hier, maar als er al prima zinnige toepassingen voor zijn (zelfs al is het maar logs wegschrijven oid), en het een bekend, veel gebruikt, en voor de toepassing geëigend protocol als dit betreft moet ik me bij dit soort geraaskal toch afvragen wie hier nou incompetent en kwaliteitsarm overkomt.

Kom op zeg.

Op dit item kan niet meer gereageerd worden.

Examenklacht-site van LAKS lag plat door WannaCry-ransomware

Lees meer

WannaCry-ransomware in 150 landen

IT-banen

Reacties (82)

Lees meer

WannaCry-ransomware in 150 landen

IT-banen

Reacties (82)

Sorteer op:

Weergave: