Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage zur Verbreitung von Wanna Cry

Mitglied: twin850

twin850 (Level 1) - Jetzt verbinden

15.05.2017, aktualisiert 18:41 Uhr, 3211 Aufrufe, 10 Kommentare, 1 Danke

Hallo,

ich bin ein bisschen irritiert über die ganzen Meldungen zum derzeitigen Randsomware Angriff WannaCry. Es wird ja überall geschrieben das Installieren der aktuellen Sicherheitspatches würde das Problem beheben und die Schwachstelle schliessen. Bezieht sich das aber nicht nur auf die Verbreitung in interen Netzwerken ? Wie soll denn sich bitte ein Trojaner über das SMB Protokoll von ganz alleine über das Internet verbreiten ? Jeder 08/15 Router und insbesondere die in Firmennetzwerken lassen die entsprechenden Ports doch gar nicht durch. Und wenn das so wäre würde die Zahl der infizierten PC's doch irgendwo im 7-8 stelligen Bereich liegen. Selbst ein nicht gepatchter XP Rechner ist doch von aussen erst mal gar nicht zu erreichen ? (Router mit aktivierter Firewall vorausgesetzt)

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Vielleicht kann mich mal jemand aufklären.

Danke
Mitglied: Lochkartenstanzer
15.05.2017 um 18:49 Uhr
Zitat von twin850:

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Nich tunbedingt. je nachdem, über welchen verbreitungsweg (drive--by-download, shares, mail, etc. ) und dem benutzen "Injektor" wäre auch eine Infektion ohne zutun des Nutzers denkbar, auch wenn das konkret noch nciht gemeldet wurde.

Also drauf achten, daß die User ordentlich eingewiesen werden oder am besten gleich eine whitelist für die Programme verwenden.

Vielleicht kann mich mal jemand aufklären.

Zu Bienchen und Blümchen gibt es Genug im Netz..

lks
Bitte warten ..
Mitglied: BassFishFox
15.05.2017 um 18:56 Uhr
Hallo,

Vielleicht kann mich mal jemand aufklären.

Lies einfach mal :

https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...

Muss nicht zwangsläufig auch hier erstmal eine Useraktion (Öffnen eines Email Anhangs etc.) erfolgen um diesen Trojaner, so wie Locky und Co. auch, im Netzwerk zu aktivieren ?

Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.


BFF
Bitte warten ..
Mitglied: DerWoWusste
15.05.2017, aktualisiert um 19:36 Uhr
Es ist wie immer sehr simpel: Öffnet den Explorer, klickt auf "Netzwerkumgebung" - eine (Fehler?-)Meldung erscheint, "Netzwerkerkennung ist ausgeschaltet" - oh mein Gott, das müssen wir schnell ändern, denkt der Firmenadmin...was sollen denn meine User nur sagen.
Und so nimmt das Unglück seinen Lauf, Netzwerkerkennung und damit auch file und printersharing werden eingeschaltet, obwohl die Mitarbeiterrechner doch überhaupt keine Drucker oder gar Freigaben hosten - sie greifen lediglich auf welche zu! Und schon ist der SMB-Port offen.

Aus diesem uralten Missverständnis entstehen dann sagenhafte Möglichkeiten für Wannacry-Würmer. Einen Rechner infizieren per Mailanhang, und schon hat man ein ganzes Netzwerk im Sack! Ein ganzes Netzwerk? Nein, ein gallisches Dorf hat es doch geschafft und die Märzpatchtestphase schon vor Mitte Mai abgeschlossen und ist nun doch nicht infiziert.
Bitte warten ..
Mitglied: twin850
15.05.2017 um 19:29 Uhr
Zitat von BassFishFox:

Lies einfach mal :

https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-di ...

Im manchen Faellen soll ein Autstart von Outlook/OE mit Autoplay aller Mail-Inhalte gereicht haben.

Ok. das ist für mich im weitesten Sinne auch eine Useraktion, bzw. eine Aktion die von einem auf dem Rechner ausgeführten Programm ausgeht.

Alles in allem ist doch die Initialverbreitung genauso wie bei allen anderen Verschlüsselungstrojanern Email bzw. schadhafter Code der jedoch auf einem Rechner ersteinmal intial ausgeführt werden muss. Ob nun von Benutzer versehentlich durch Öffnen eines Anhanges oder durch falsche Einstellungen in Outlook/Browser etc.

Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten. Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.

Ich muss halt viele User sensibilisieren und die einschläge Meinung des Großteils der User ist "installieren Sie bitte alle Sicherheitsupdates damit ich wieder ohne Sorgen meine Emailanhänge öffnen kann". Das aber wahrscheinlich genau hier weiterhin das ursächliche Problem besteht will mir heute irgendwie keiner glauben, weil es steht ja überall "installieren sie blablabla Sichheitsupdates und die Schwachstelle ist behoben". Das einzige was damit behoben wird ist doch nur das der am Tisch gegenüber sitzt nicht auch gleich betroffen ist ??!

Will mir einfach nur ein paar Meinungen einholen ohne jetzt "fundierte wissenschaftliche Erkenntnisse" zu fordern.
Bitte warten ..
Mitglied: BassFishFox
15.05.2017 um 19:45 Uhr
Halloele,

Mich verwundert halt das darauf in so ziemlich allen Medien (den Heise Link ausgeschlossen) überhaupt nicht darauf eingegangen wird
sondern behauptet wird der Torjaner würde sich aufgrund einer Schwachstelle im Windows SMB Protokoll auf der ganzen Welt verbreiten.
Das ist doch aber nur der zweite Schritt innerhalb lokaler bzw. verbundener Netzwerke/Standorte.

Damit liegst Du richtig. Er kam per Mail, ein Doedel schaute und klickte oder was immer und dann kam die Luecke.
Siehs mal so. Es macht doch viel mehr Spass auf einer ausgenutzten Sicherheitsluecke herum zu hacken, anstatt auf den Unverstand der meisten Mailempfaenger. Es haben immer andere Schuld, niemals nicht und nimmer die verpassten Patche weil die lokale IT eingestampft wurde oder die Entscheidungsprozesse fuer Updates so lang sind oder der PC des Geschaeftsfuehrer der aus Spass noch mit Vista laeuft. Ist beliebig erweiterbar.

BFF
Bitte warten ..
Mitglied: twin850
15.05.2017 um 20:36 Uhr
Danke BFF, deine Aussagen treffen sich mit meiner Ansicht.

Ich finde die Berichterstattung nur total missverständlich, dem 1 Platz/Homeuser bringt dieses Sicherheitsupdate in diesem Falle nämlich rein garnichts. Und oftmals reicht im Netzwerk sowieso auch schon 1 infizierter PC um Dateien auf allen berechtigten Shares zu verschlüsseln.

twin850
Bitte warten ..
Mitglied: Herbrich19
16.05.2017 um 03:08 Uhr
Wie weit ist der Virtus schon?? :D
01.
intitle:"index of" "WNCRY"
Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Mitglied: maretz
16.05.2017 um 06:49 Uhr
Moin,

das ist so nicht ganz richtig. Klar - in erster Linie brauchst du jemanden der dir hilft indem irgendwas geöffnet wird. Hast du ein Büro mit 100 Leuten würde ich sagen du hast schon fast ne Garantie das es klappt... Sei es nen Download, Mail-Anhang,... -> irgendwas findet sich immer. Und irgendwer der es öffnet auch.

Jetzt kommt dann der zweite Teil: Deine lokalen Freigaben - eben das SMB-Protokoll. Ganz ehrlich: Mir doch egal wenn es die Arbeitsplätze wegschiesst. Viel Spass damit, die können z.T. ja sogar automatisch oder per Image wiederhergestellt werden. Was ist aber mit einer SMB-Lücke am Server? Der muss idR. ja das Protokoll freigeben (zumindest der Fileserver). Und da wird es doch dann viel Interessanter für den Angreifer. Denn wer zahlt in einer Firma schon Geld damit ein PC neu gemacht wird? Ist es aber der Fileserver mit den ganzen Daten, Mails, whatever dann ist es doch gleich viel besser. Da bestehen schon eher chancen das gezahlt wird weil das Backup wiedermal "doch nicht so gut war" oder sonstiges...

Von daher: Klar, eine Interaktion braucht es immer. Aber die brauchst du generell für jeden Virus -> denn im Endeffekt könnte man sonst auch sagen es erfordert min. den Rechner einzuschalten. Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...
Bitte warten ..
Mitglied: Lochkartenstanzer
16.05.2017 um 07:34 Uhr
Zitat von maretz:

Ein abgeschalteter Rechner der noch im Karton beim Händler steht ist nun wirklich sicher vor jedem Viren- oder Trojanerangriff...

Es gab schon systeme, die schon ab werk infiziert waren.
Daher stimmt das so nicht ganz.

lks
Bitte warten ..
Mitglied: Herbrich19
16.05.2017 um 18:21 Uhr
Nicht wen das Master Image im Werk infiziert ist, oder denkt jemand da sind tausende Nerds die Chips und Cola saufen während sie auf jeden neuen PC Windows installieren? :D

Gruß an die IT-Welt,
J Herbrich
Bitte warten ..
Ähnliche Inhalte
Sonstige Systeme
Verbreitung EspoCRM in der DACH-Region
gelöst Frage von 118080Sonstige Systeme5 Kommentare

Moin :-) Ich wollt mal Fragen wer (bzw. wie viele) von euch EspoCRM einsetzt bzw. bei einem Kunden schon ...

Viren und Trojaner

Wanna Cyrpt0r - Patch Windows 10 Version 1703?

gelöst Frage von moar70Viren und Trojaner9 Kommentare

Hallo! Es gibt ein Tool (von PC-WELT) welches das Betriebssystem auf Vulnerability checkt. Ich habe Windows 10 Version 1703 ...

Windows 10

Frage zur Cortona

Frage von avitasWindows 101 Kommentar

Lassen sich damit auch Texte in Word diktieren oder geht das nicht, falls ja, was muss ich da einstellen ...

Administrator.de Feedback

Fragen werden nicht angezeigt?

gelöst Frage von LochkartenstanzerAdministrator.de Feedback8 Kommentare

Moin, Mir ist aufgefallen, das in der Ansicht "Neue Fragen" meine beiden Fragen zum feedback nicht angezeigt werden: Bug ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 33 MinutenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 10 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 22 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...