EternalBlue is een kwetsbaarheid die het voor cybercriminelen mogelijk maakt om op afstand willekeurige code uit te voeren en toegang te krijgen tot een netwerk door het verzenden van speciaal gemaakte pakketten.

Het maakt gebruik van een software kwetsbaarheid in Microsoft’s Windows besturingssystemen Server Message Block versie 1 (SMBv1) protocol, een protocol voor het delen van bestanden op het netwerk dat toegang verleent tot bestanden op een externe server. Dit laat cybercriminelen toe het hele netwerk en alle aangesloten apparaten in gevaar brengen.

Via EternalBlue loopt elk apparaat dat op het netwerk is aangesloten gevaar. Dit maakt het herstel eveneens moeilijk, omdat alle apparaten op een netwerk mogelijk offline moeten worden gehaald. Deze kwetsbaarheid was gepatcht en staat beschreven in Microsoft’s beveiligingsupdate MS17-010.

Malware die gebruik maakt van EternalBlue kan zichzelf propageren over het netwerk. Zo was WannaCry, een crypto-ransomware, één van de eerste en meest bekende malware om dit te gebruiken om zich te verspreiden. WannaCry gebruikt de EternalBlue kwetsbaarheid om zichzelf te verspreiden. EternalBlue werd populair gemaakt bij diverse andere malware zoals Trickbot, een modulaire bankworm, evenals CoinMiner en WannaMine, cryptominers die gebruik maken van EternalBlue om toegang te krijgen tot de rekenkracht van computers in een netwerk om cryptomunten te “minen”.

WannaMine is momenteel terug bezig aan een opmars waarbij verschillende bedrijven recent getarget werden. Resultaat? Geïnfecteerde computers bij medewerkers die momenteel vooral van thuis werken, verlies van data, technische werkloosheid,…

Wat kan u ondernemen om dit tegen te gaan?

• uw Microsoft Windows OS toestellen patchen volgens Microsoft’s beveiligingsupdate MS17-010 (https://support.microsoft.com/nl-be/help/4023262/how-to-verify-that-ms17-010-is-installed)
• waar mogelijk, SMBv1 uitschakelen en gebruik maken van SMBv2 of v3 (https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3)
• gebruik Group Policy Objects om een Windows Firewall regel in te stellen om inkomende SMB-communicatie te beperken tot client systemen (https://support.microsoft.com/en-us/help/3185535/preventing-smb-traffic-from-lateral-connections)
• als u een alternatief host-gebaseerd inbraakpreventiesysteem (HIPS) gebruikt, overweeg dan het implementeren van gecustomiseerde aanpassingen voor de controle van client-tot-client SMB communicatie. Maak minimaal een Group Policy Object dat inkomende SMB-verbindingen beperkt tot clients die afkomstig zijn van clients
• pas het principe van Least Privilege toe op alle systemen en denk na over de rol van “Privileged Accounts” (voorbeeld van privileged accounts implementatie: https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/pim-configure)

Zin om hierover verder te praten? Aarzel niet ons te contacteren.

(bronnen: https://www.cisecurity.org/ms-isac/ en https://support.microsoft.com)

• Facebook
• LinkedIn