Die Mehrheit der Angriffe auf das SMB-Protokoll versucht, EternalBlue auszunutzen

Das SMB-Protokoll (Server Message Block) erleichtert den gemeinsamen Zugriff auf Dateien und Drucker und ist seit Jahren sowohl auf Windows-Systemen als auch auf Linux- und Apple-Systemen, die mit Hilfe von SMB auf Netzwerke zugreifen, weit verbreitet. Die aktuelle Version des Protokolls ist 3.1.1, doch selbst in modernen Windows-Systemen ist die Abwärtskompatibilität nach wie vor eine Funktion, die jahrelang standardmäßig aktiviert war.

Diese Abwärtskompatibilität ist deswegen von Bedeutung, da ältere Versionen des Protokolls, insbesondere SMB v1, im Laufe der Jahre mit schwerwiegenden Schwachstellen behaftet waren. Wenn Systeme diese älteren Protokoll-Versionen unterstützen, können sie anfällig für Angriffe sein, die diese Schwachstellen ausnutzen. Darüber hinaus wurden neuere Schwachstellen gefunden, die dieses Protokoll zu einem brauchbaren Ziel für Angreifer machen. In einer kürzlich durchgeführten Analyse von Angriffen über einen Zeitraum von drei Monaten fanden Experten von Barracuda beispielsweise heraus, dass 91,88 % der Angriffe auf Port 445 (den häufigsten SMB-Port) versuchten, den EternalBlue-Exploit zu nutzen.

Es gibt mehrere Schwachstellen im SMB-Protokoll und in seinen Implementierungen, die immer wieder ausgenutzt werden. Eine solche Schwachstelle, EternalBlue, machte 2017 Schlagzeilen, und Versuche (und möglicherweise Erfolge), diese Schwachstelle auszunutzen, dauern bis heute an. Während veraltete und deaktivierte Geräte in neueren Betriebssystemen standardmäßig deaktiviert sind, sind dort genug alte Computer vorhanden, sodass sich Exploits von SMB v1 nach wie vor lohnen. Darüber hinaus können in moderneren Versionen von SMB andere Schwachstellen vorhanden sein, und Angreifer versuchen ständig, solche zu finden, die sie ausnutzen können.

Eine erfolgreiche Ausbeutung kann eine ganze Reihe von Konsequenzen haben. Speziell bei EternalBlue kann das gesamte System und möglicherweise sogar das Netzwerk, in dem es sich befindet, kompromittiert werden. Da SMB häufig Teil eines Intranets ist, verwenden Angreifer verschiedene Techniken, um die Abwehrmaßnahmen zu überwinden und SMB auszunutzen.

WannaCry und andere EternalBlue-Angriffe

Drei bemerkenswerte SMB-Schwachstellen – EternalBlue, EternalRomance und EternalChampion – sorgten für Schlagzeilen, als eine Hacker-Gruppe namens The Shadow Brokers eine Sammlung von Schwachstellen veröffentlichte, die sie angeblich der Equation Group gestohlen hatten, die – so wird von vielen vermutet – Teil der US-amerikanischen National Security Agency (NSA) sei. EternalBlue wurde bekannt, als es mit einem anderen Tool aus dem als DoublePulsar bekannten Leck verwendet wurde, um WannaCry-Ransomware zu verbreiten. Am 12. Mai liegt dieser Angriff genau fünf Jahre zurück – eine gute Erinnerung daran, wie lange diese Schwachstellen schon ernsthafte Probleme verursachen. EternalRomance wurde auch in einer Ransomware-Kampagne verwendet, diesmal BadRabbit. EternalChampion wurde von TrickBot, einem sehr gängigen Informationshändler und Banktrojaner, weitläufig eingesetzt, um sich lateral über ein Netzwerk zu verbreiten, nachdem ein Rechner infiziert wurde.

Obwohl bereits vor Jahren Patches zur Verfügung gestellt wurden, ist EternalBlue immer noch einer der am häufigsten versuchten Exploits gegen den SMB – verantwortlich für über 91,88 % der Angriffe auf Port 445 (den häufigsten SMB-Port) – die Forscher von Barracuda in ihrer Analyse feststellten. Der Exploit wird häufig in Verbindung mit anderen Angriffen verwendet, um Netzwerkabwehrmaßnahmen zu durchdringen und auf den SMB innerhalb eines lokalen Netzwerks zuzugreifen.

Im Fall von WannaCry suchte der Angriff nach exponierten SMB-Ports (am häufigsten Port 445), die aufgrund einer Fehlkonfiguration freigelegt wurden. Bei Auffinden eines exponierten Ports wurde EternalBlue auf anfälligen Systemen ausgenutzt, um einen Wurm im gesamten Netzwerk zu verbreiten und letztendlich Ransomware auf infizierten Computern zu installieren. Zum Glück für die Betroffenen enthielt die Ransomware einen „Notschalter“ in Form einer Domain, deren Existenz vor der Verschlüsselung und Verbreitung im Netzwerk überprüft wurde. Während der Analyse bemerkte ein Sicherheitsforscher diese Domain und dass sie nicht registriert war. Der Forscher registrierte sie anschließend und stoppte damit die Ausbreitung des Angriffs.

Neue Schwachstellen

Eine kürzlich bekannt gewordene Kampagne namens Eternal Silence nutzt UPnP-Schwachstellen in Routern, um EternalBlue und EternalRed (Linux-Äquivalent) auf Systemen hinter Routern mit UPnP-Schwachstellen auszunutzen. UPnP ist eine Funktion in vielen Routern, die eine häufig in Verbindung mit Spielekonsolen verwendete Portweiterleitung ermöglicht, um das Online-Spielen zu beschleunigen. Es tauscht einige vom Router selbst bereitgestellte Sicherheiten gegen eine bessere Konnektivität auf bestimmten Systemen innerhalb des Netzwerks ein.

Es werden regelmäßig neue Schwachstellen im Zusammenhang mit SMB gefunden, wie die neuere CVE-2021-44142, die Samba betrifft – die Open-Source-Implementierung des SMB-Protokolls, die häufig unter Linux- und Apple-Systemen verwendet wird. Diese Schwachstelle ermöglicht es einem Angreifer, Code auf dem Zielsystem auszuführen. Das macht sie zu einem ernsthaften Risiko für betroffene Systeme, die nicht gepatcht wurden.

Zwischen älteren Systemen, die entweder nicht gepatcht sind oder keine weiteren Sicherheitspatches erhalten können, und neueren Schwachstellen ist SMB ein brauchbares Ziel für Angreifer. Die Schwachstellen können direkt über ungeschützte SMB-Ports ausgenutzt werden, in Verbindung mit anderen Schwachstellen, die es einem Angreifer ermöglichen, auf interne SMB-Dienste zuzugreifen, oder durch Phishing-Versuche mit Malware, die auf SMB abzielt.

So schützen Sie sich vor dieser Bedrohung

Da SMB häufig mit den verschiedenen vorhandenen Schwachstellen konfrontiert wird, ist ein wichtiger Schritt zum Schutz vor diesen Angriffen sicherzustellen, dass Software und Betriebssysteme gepatcht und auf dem neuesten Stand sind. Im Fall von Windows kann dies bedeuten, auf eine neuere Version von Windows selbst zu aktualisieren, da viele ältere Versionen keine Updates mehr erhalten und die Schwachstellen daher nicht gepatcht werden können. Das spielte eine große Rolle in der WannaCry-Kampagne, in der ältere, anfällige Versionen von Windows ausgenutzt wurden.

Wenn möglich kann die Deaktivierung der SMB v1-Unterstützung auch vor Schwachstellen und der Ausbreitung des Angriffs schützen, wenn veraltete Rechner angegriffen werden. Wenn SMB nicht benötigt oder verwendet wird, kann es sogar vollständig auf Systemen deaktiviert werden, um die Angriffsfläche zu reduzieren.

Richtig konfigurierte Firewalls können auch zum Schutz vor SMB-Schwachstellen beitragen, indem der Zugriff auf diese Ports blockiert und potenzielle Exploit-Versuche erkannt und/oder verhindert werden. SMB-Ressourcen sollten im Allgemeinen nicht außerhalb des lokalen Netzwerks verfügbar sein, und Firewalls können häufig auch die Einrichtung eines VPN-Zugriffs auf die Ressourcen ermöglichen, anstatt sie öffentlich zugänglich zu machen. Im Allgemeinen sollten sowohl Systeme als auch das Netzwerk keinen öffentlichen Zugang zu SMB-Ports ermöglichen.

Es gibt auch SaaS-Lösungen für die gemeinsame Nutzung von Dateien und Ressourcen, die im Allgemeinen sicherer sind als SMB und häufig einen Großteil der Sicherheitspatches automatisch vornehmen, anstatt sich bei der Aktualisierung auf Benutzer oder die IT zu verlassen. Diese ermöglichen oft eine einfachere Integration robusterer Sicherheitspraktiken wie Zero Trust Network Access und Multifaktor-Authentifizierung.

Ermöglichen Sie Zero Trust Access von jedem Gerät und überall.