Hoe hadden penetratietests de WannaCry-uitbraak kunnen voorkomen?

Hoe hadden penetratietests de WannaCry-uitbraak kunnen voorkomen?


Wat is WannaCry ?

Zoals u waarschijnlijk wel hebt gehoord, was er onlangs veel te doen over een nieuw ransomwareprogramma, waarvan de schade nog altijd niet te overzien is. Deze gijzelsoftware, WannaCry of WannaCrypt genoemd, probeert de gegevens op uw systemen te versleutelen om vervolgens losgeld te vragen.

We kunnen hier geen compleet overzicht geven van alle organisaties die het slachtoffer zijn geworden van deze criminelen, maar enkele bekende organisaties zijn Renault, Telefónica in Spanje en de National Health Service in Groot-Brittannië.

Wat is er nieuw aan deze dreiging en waarom waren de gevolgen zo groot ?

Traditionele ransomware wordt verspreid via klassieke phishing-technieken (e-mails met schadelijke bijlagen of koppelingen naar uitvoerbare bestanden) en treft één slachtoffer per keer.

Sommige geavanceerde ransomwareprogramma’s repliceren zichzelf met behulp van domeinwachtwoorden naar andere computers in het lokale netwerk.

Maar WannaCry maakt gebruik van een speciale verspreidingstechniek, gebaseerd op tools die vanuit de NSA zijn gelekt. Hierbij wordt een (in maart 2017 door Microsoft gepatchte) kritieke zwakke plek in de meeste Windows-systemen gebruikt via een standaard Microsoft-service: SMB op de TCP-poorten 139/445.

Hierdoor loopt elke Windows-computer gevaar die de afgelopen twee maanden geen patches heeft ontvangen. Deze computers kunnen door WannaCry worden aangevallen vanaf andere, reeds besmette computers op het interne netwerk. Het is bovendien belangrijk te weten dat de kwetsbare SMB-service soms ook via het internet beschikbaar gesteld wordt. Dit betekent dat servers via het internet door WannaCry besmet kunnen worden, ook zonder phishing.

WannaCry zoekt naar zwakke plekken in lokale en externe systemen, maakt gebruik van de gevonden tekortkomingen en verspreidt zich op die manier verder. Deze ransomware is extra gevaarlijk omdat het een volledig geautomatiseerd proces is, dat duizenden computers tegelijk kan treffen.


Hoe had deze uitbraak voorkomen kunnen worden met de penetratietests van SSL247® ?

SSL247® levert auditservices zoals interne, externe en op applicaties gerichte penetratietests..

Interne penetratietests simuleren wat een indringer op uw interne netwerk zou kunnen doen. De indringer kan lokaal aanwezig zijn, maar ook virtueel via een besmette computer, zoals het geval is bij WannaCry. Deze dreiging kan alleen effectief zijn als het netwerk niet goed gesegmenteerd is en er geen frequente systeemupdates worden uitgevoerd. Tijdens de interne penetratietest worden deze zwakke plekken in kaart gebracht en ‘benut’ om te bepalen welke schade een aanvaller of een malwareprogramma in uw netwerk zou kunnen aanrichten.

Externe penetratietests simuleren een ander soort aanvaller: iemand die alleen toegang tot uw infrastructuur kan krijgen via externe services op het internet. Onze specialist die de test uitvoert, controleert hierbij dezelfde zwakke plekken als WannaCry doet (en nog veel meer), om te zien of sommige van uw servers mogelijk gevaar lopen.

Aan het eind van de opdracht wordt een compleet rapport opgesteld en worden de resultaten mondeling gepresenteerd. Hierbij worden de dreigingen geïdentificeerd en gecategoriseerd in termen van mogelijke gevolgen en het risico van exploitatie. De zwakke plek die door WannaCry wordt gebruikt, zou daarbij zijn aangemerkt als ‘kritiek’ en als ‘eenvoudig te exploiteren’, omdat het gedrag van WannaCry zo gemakkelijk geautomatiseerd kan worden.

Op basis van deze informatie kunnen uw IT-mensen de juiste patches toepassen en andere maatregelen nemen. Er zijn nog steeds varianten van WannaCrypt actief en vroeg of laat zal zich vergelijkbare of nog gevaarlijkere malware aandienen.

Meer weten over penetratietests?

U vindt alle relevante informatie hier: Penetratietests

Voor meer informatie over de voordelen van een penetratietest voor uw bedrijf kunt u altijd geheel vrijblijvend contact opnemen met een van onze behulpzame, geaccrediteerde consultants:

    +31 85 888 03 04
   sales@ssl247.nl


Auteur: Loic Castel, Audit and Pentest Manager.

Deel dit:

Posted on Thursday 18 May 2017 by Léopoldine Cini

Terug naar blog

Stuur ons uw commentaar


Uw commentaar zal niet gepubliceerd worden. Vergeet niet bij vragen uw e-mailadres te vermelden zodat we contact met u kunnen opnemen!