10
Frage zur Verbreitung von Wanna Cry
Hallo,
ich bin ein bisschen irritiert über die ganzen Meldungen zum derzeitigen Randsomware Angriff WannaCry. Es wird ja überall geschrieben das Installieren der aktuellen Sicherheitspatches würde das Problem beheben und die Schwachstelle schliessen. Bezieht sich das aber nicht nur auf die Verbreitung in interen Netzwerken ? Wie soll denn sich bitte ein Trojaner über das SMB Protokoll von ganz alleine über das Internet verbreiten ? Jeder 08/15 Router und insbesondere die in Firmennetzwerken lassen die entsprechenden Ports doch gar nicht durch. Und wenn das so wäre würde die Zahl der infizierten PC's doch irgendwo im 7-8 stelligen Bereich liegen. Selbst ein nicht gepatchter XP Rechner ist doch von aussen erst mal gar nicht zu erreichen ? (Router mit aktivierter Firewall vorausgesetzt)
Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?
Vielleicht kann mich mal jemand aufklären.
Danke
ich bin ein bisschen irritiert über die ganzen Meldungen zum derzeitigen Randsomware Angriff WannaCry. Es wird ja überall geschrieben das Installieren der aktuellen Sicherheitspatches würde das Problem beheben und die Schwachstelle schliessen. Bezieht sich das aber nicht nur auf die Verbreitung in interen Netzwerken ? Wie soll denn sich bitte ein Trojaner über das SMB Protokoll von ganz alleine über das Internet verbreiten ? Jeder 08/15 Router und insbesondere die in Firmennetzwerken lassen die entsprechenden Ports doch gar nicht durch. Und wenn das so wäre würde die Zahl der infizierten PC's doch irgendwo im 7-8 stelligen Bereich liegen. Selbst ein nicht gepatchter XP Rechner ist doch von aussen erst mal gar nicht zu erreichen ? (Router mit aktivierter Firewall vorausgesetzt)
Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?
Vielleicht kann mich mal jemand aufklären.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 337887
Url: https://administrator.de/contentid/337887
Printed on: April 24, 2024 at 23:04 o'clock
10 Comments
Latest comment
Zitat von @twin850:
Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?
Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?
Nich tunbedingt. je nachdem, über welchen verbreitungsweg (drive--by-download, shares, mail, etc. ) und dem benutzen "Injektor" wäre auch eine Infektion ohne zutun des Nutzers denkbar, auch wenn das konkret noch nciht gemeldet wurde.
Also drauf achten, daß die User ordentlich eingewiesen werden oder am besten gleich eine whitelist für die Programme verwenden.
Vielleicht kann mich mal jemand aufklären.
Zu Bienchen und Blümchen gibt es Genug im Netz..
lks
1
Hallo,
Lies einfach mal :
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.
BFF
Vielleicht kann mich mal jemand aufklären.
Lies einfach mal :
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?
Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.
BFF
Es ist wie immer sehr simpel: Öffnet den Explorer, klickt auf "Netzwerkumgebung" - eine (Fehler?-)Meldung erscheint, "Netzwerkerkennung ist ausgeschaltet" - oh mein Gott, das müssen wir schnell ändern, denkt der Firmenadmin...was sollen denn meine User nur sagen.
Und so nimmt das Unglück seinen Lauf, Netzwerkerkennung und damit auch file und printersharing werden eingeschaltet, obwohl die Mitarbeiterrechner doch überhaupt keine Drucker oder gar Freigaben hosten - sie greifen lediglich auf welche zu! Und schon ist der SMB-Port offen.
Aus diesem uralten Missverständnis entstehen dann sagenhafte Möglichkeiten für Wannacry-Würmer. Einen Rechner infizieren per Mailanhang, und schon hat man ein ganzes Netzwerk im Sack! Ein ganzes Netzwerk? Nein, ein gallisches Dorf hat es doch geschafft und die Märzpatchtestphase schon vor Mitte Mai abgeschlossen und ist nun doch nicht infiziert.
Und so nimmt das Unglück seinen Lauf, Netzwerkerkennung und damit auch file und printersharing werden eingeschaltet, obwohl die Mitarbeiterrechner doch überhaupt keine Drucker oder gar Freigaben hosten - sie greifen lediglich auf welche zu! Und schon ist der SMB-Port offen.
Aus diesem uralten Missverständnis entstehen dann sagenhafte Möglichkeiten für Wannacry-Würmer. Einen Rechner infizieren per Mailanhang, und schon hat man ein ganzes Netzwerk im Sack! Ein ganzes Netzwerk? Nein, ein gallisches Dorf hat es doch geschafft und die Märzpatchtestphase schon vor Mitte Mai abgeschlossen und ist nun doch nicht infiziert.
Lies einfach mal :
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.
Ok. das ist für mich im weitesten Sinne auch eine Useraktion, bzw. eine Aktion die von einem auf dem Rechner ausgeführten Programm ausgeht.https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...
Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.
Alles in allem ist doch die Initialverbreitung genauso wie bei allen anderen Verschlüsselungstrojanern Email bzw. schadhafter Code der jedoch auf einem Rechner ersteinmal intial ausgeführt werden muss. Ob nun von Benutzer versehentlich durch Öffnen eines Anhanges oder durch falsche Einstellungen in Outlook/Browser etc.
Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten. Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.
Ich muss halt viele User sensibilisieren und die einschläge Meinung des Großteils der User ist "installieren Sie bitte alle Sicherheitsupdates damit ich wieder ohne Sorgen meine Emailanhänge öffnen kann". Das aber wahrscheinlich genau hier weiterhin das ursächliche Problem besteht will mir heute irgendwie keiner glauben, weil es steht ja überall "installieren sie blablabla Sichheitsupdates und die Schwachstelle ist behoben". Das einzige was damit behoben wird ist doch nur das der am Tisch gegenüber sitzt nicht auch gleich betroffen ist ??!
Will mir einfach nur ein paar Meinungen einholen ohne jetzt "fundierte wissenschaftliche Erkenntnisse" zu fordern.
Halloele,
Damit liegst Du richtig. Er kam per Mail, ein Doedel schaute und klickte oder was immer und dann kam die Luecke.
Siehs mal so. Es macht doch viel mehr Spass auf einer ausgenutzten Sicherheitsluecke herum zu hacken, anstatt auf den Unverstand der meisten Mailempfaenger. Es haben immer andere Schuld, niemals nicht und nimmer die verpassten Patche weil die lokale IT eingestampft wurde oder die Entscheidungsprozesse fuer Updates so lang sind oder der PC des Geschaeftsfuehrer der aus Spass noch mit Vista laeuft. Ist beliebig erweiterbar.
BFF
Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird
sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten.
Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.
sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten.
Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.
Damit liegst Du richtig. Er kam per Mail, ein Doedel schaute und klickte oder was immer und dann kam die Luecke.
Siehs mal so. Es macht doch viel mehr Spass auf einer ausgenutzten Sicherheitsluecke herum zu hacken, anstatt auf den Unverstand der meisten Mailempfaenger. Es haben immer andere Schuld, niemals nicht und nimmer die verpassten Patche weil die lokale IT eingestampft wurde oder die Entscheidungsprozesse fuer Updates so lang sind oder der PC des Geschaeftsfuehrer der aus Spass noch mit Vista laeuft.
Ist beliebig erweiterbar.BFF
Danke BFF, deine Aussagen treffen sich mit meiner Ansicht.
Ich finde die Berichterstattung nur total missverständlich, dem 1 Platz/Homeuser bringt dieses Sicherheitsupdate in diesem Falle nämlich rein garnichts. Und oftmals reicht im Netzwerk sowieso auch schon 1 infizierter PC um Dateien auf allen berechtigten Shares zu verschlüsseln.
twin850
Ich finde die Berichterstattung nur total missverständlich, dem 1 Platz/Homeuser bringt dieses Sicherheitsupdate in diesem Falle nämlich rein garnichts. Und oftmals reicht im Netzwerk sowieso auch schon 1 infizierter PC um Dateien auf allen berechtigten Shares zu verschlüsseln.
twin850
Wie weit ist der Virtus schon?? :D
Gruß an die IT-Welt,
J Herbrich
intitle:"index of" "WNCRY" Gruß an die IT-Welt,
J Herbrich
Moin,
das ist so nicht ganz richtig. Klar - in erster Linie brauchst du jemanden der dir hilft indem irgendwas geöffnet wird. Hast du ein Büro mit 100 Leuten würde ich sagen du hast schon fast ne Garantie das es klappt... Sei es nen Download, Mail-Anhang,... -> irgendwas findet sich immer. Und irgendwer der es öffnet auch.
Jetzt kommt dann der zweite Teil: Deine lokalen Freigaben - eben das SMB-Protokoll. Ganz ehrlich: Mir doch egal wenn es die Arbeitsplätze wegschiesst. Viel Spass damit, die können z.T. ja sogar automatisch oder per Image wiederhergestellt werden. Was ist aber mit einer SMB-Lücke am Server? Der muss idR. ja das Protokoll freigeben (zumindest der Fileserver). Und da wird es doch dann viel Interessanter für den Angreifer. Denn wer zahlt in einer Firma schon Geld damit ein PC neu gemacht wird? Ist es aber der Fileserver mit den ganzen Daten, Mails, whatever dann ist es doch gleich viel besser. Da bestehen schon eher chancen das gezahlt wird weil das Backup wiedermal "doch nicht so gut war" oder sonstiges...
Von daher: Klar, eine Interaktion braucht es immer. Aber die brauchst du generell für jeden Virus -> denn im Endeffekt könnte man sonst auch sagen es erfordert min. den Rechner einzuschalten. Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...
das ist so nicht ganz richtig. Klar - in erster Linie brauchst du jemanden der dir hilft indem irgendwas geöffnet wird. Hast du ein Büro mit 100 Leuten würde ich sagen du hast schon fast ne Garantie das es klappt... Sei es nen Download, Mail-Anhang,... -> irgendwas findet sich immer. Und irgendwer der es öffnet auch.
Jetzt kommt dann der zweite Teil: Deine lokalen Freigaben - eben das SMB-Protokoll. Ganz ehrlich: Mir doch egal wenn es die Arbeitsplätze wegschiesst. Viel Spass damit, die können z.T. ja sogar automatisch oder per Image wiederhergestellt werden. Was ist aber mit einer SMB-Lücke am Server? Der muss idR. ja das Protokoll freigeben (zumindest der Fileserver). Und da wird es doch dann viel Interessanter für den Angreifer. Denn wer zahlt in einer Firma schon Geld damit ein PC neu gemacht wird? Ist es aber der Fileserver mit den ganzen Daten, Mails, whatever dann ist es doch gleich viel besser. Da bestehen schon eher chancen das gezahlt wird weil das Backup wiedermal "doch nicht so gut war" oder sonstiges...
Von daher: Klar, eine Interaktion braucht es immer. Aber die brauchst du generell für jeden Virus -> denn im Endeffekt könnte man sonst auch sagen es erfordert min. den Rechner einzuschalten. Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...
Zitat von @maretz:
Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...
Es gab schon systeme, die schon ab werk infiziert waren.
Daher stimmt das so nicht ganz.
lks
Nicht wen das Master Image im Werk infiziert ist, oder denkt jemand da sind tausende Nerds die Chips und Cola saufen während sie auf jeden neuen PC Windows installieren? :D
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
