Discussion:
Wanna Cry
(zu alt für eine Antwort)
Harald Hengel
2017-05-14 20:08:48 UTC
Permalink
Es gibt auch Patches für ältere Windows Versionen, u.A. auch für
Windows XP

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Grüße Harald
Michael Unger
2017-05-14 21:38:24 UTC
Permalink
On 2017-05-14 22:08, "Harald Hengel" wrote:

[fup2: de.comp.security.misc]
Post by Harald Hengel
Es gibt auch Patches für ältere Windows Versionen, u.A. auch für
Windows XP
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
| Wenn Sie über diese Site Updates suchen und herunterladen,
| müssen Sie Ihre Sicherheitseinstellungen so ändern, dass
| ActiveX-Steuerelemente und Active Scripting aktiviert sind.
| Oder richten Sie diese Site als vertrauenswürdige Site ein.
| [...]

Ächt jätzt?? Du hättest besser gleich dorthin [1] verlinken sollen.

Michael


[1]
<https://download.microsoft.com/download/B/7/8/B78348C3-DE52-46AC-9077-C6BADBCFF20D/WindowsXP-KB4012598-x86-Embedded-Custom-DEU.exe>
--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.
Stephan Gerlach
2017-05-15 23:40:39 UTC
Permalink
Es gibt auch Patches für ältere Windows Versionen, u.A. auch für Windows XP
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Frage:

Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?

Laut Medien-Berichten kommt die Software per Email(?) rein, und sie
"funktioniert" nur auf Windows-Rechnern.

Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.

Einfaches Beispiel:
Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
"echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
"Hallo", oder nicht?
--
Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Chr. Maercker
2017-05-16 08:07:27 UTC
Permalink
Post by Stephan Gerlach
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
Bisher konnte ich nur soviel herausfinden, dass es eine Sicherheitslücke
im SMB ist. Eine dazu passende MS-KB wurde bereits im Usenet verlinkt:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
"Security Update for Microsoft Windows SMB Server (4013389)"

Keine Infos fand ich z.B. dazu, ob auch die administrativen Freigaben
(C$ usw.) betroffen sind oder nur konfigurierte Freigaben.
Post by Stephan Gerlach
Laut Medien-Berichten kommt die Software per Email(?) rein, und sie
"funktioniert" nur auf Windows-Rechnern.
Zunächst die klassische social-engineering-Masche, mit der Windoof-User
schon zigmal mit Ransomware "beglückt" wurden. Neu ist der
"Wurmfortsatz", also selbständige Weiterverbreitung via
Windows-Schwachstelle. Neu aber auch nur zusammen mit Ransomware. Mich
wunderte sowieso, dass nach Conficker, Sircam & Co. kaum noch neue
Würmer von sich reden machten oder aber tatsächlich kaum neue in Umlauf
kammen.
Post by Stephan Gerlach
Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.
Die Dateien werden umbenannt und ihr Inhalt völlig unleserlich gemacht.
Brute Force Decryption ist meist nicht mit vertretbarem Zeitaufwand möglich.
Post by Stephan Gerlach
Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
"echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
"Hallo", oder nicht?
Nein, in der Datei steht wirklich "q23r9dasvn23FD" oder so was in der
Art. Der einzige Klartext, den Du noch findest, sind je eine html- und
.txt-Dateien pro Verzeichnis, in denen Dir der Zahlungsweg u.a.m.
erklärt wird. Auszug aus einer Datei, wie sie z.B. Cerber hinterlässt:

" Cannot you find the files you need?
Is the content of the files that you looked for not readable?

It is normal because the files' names, as well as the data in your files
have been encrypted.

Great!!!
You have turned to be a part of a big community #CerberRansomware.

...


Remember that the worst situation already happened and now it depends on
your determination and speed of your actions the further life of
your files."
--
CU Chr. Maercker.
Stephan Gerlach
2017-05-19 22:19:56 UTC
Permalink
Post by Chr. Maercker
Post by Stephan Gerlach
Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.
Die Dateien werden umbenannt und ihr Inhalt völlig unleserlich gemacht.
Brute Force Decryption ist meist nicht mit vertretbarem Zeitaufwand möglich.
Post by Stephan Gerlach
Eine *.txt-Datei mit dem Inhalt "Hallo" wird unter Windows durch die
Software zwangs-verschlüsselt. Kann man die *.txt-Datei dann z.B. unter
"echtem" DOS noch mit dem Programm edit öffnen und sieht den Text
"Hallo", oder nicht?
Nein, in der Datei steht wirklich "q23r9dasvn23FD" oder so was in der
Art.
[...]

OK, das hat dann (zumindest für den Benutzer) in der End-Konsequenz
quasi denselben Effekt wie ein Löschen der Dateien oder/und Überschreiben.
--
Post by Chr. Maercker
Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Chr. Maercker
2017-05-16 09:59:31 UTC
Permalink
Post by Stephan Gerlach
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
Wurde eben auf diese Seite aufmerksam gemacht:
https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/
--
CU Chr. Maercker.
Christian Steins
2017-05-16 11:18:24 UTC
Permalink
Post by Chr. Maercker
Post by Stephan Gerlach
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
https://security.radware.com/ddos-threats-attacks/ddos-attack-types/wannacry-ransomware/
Danke, wie heißt die deutsche Übersetzung für den Punkt
"1.0 SMB/CIFS" im Windows-Features Dialog?

Kann ich bei mir nicht finden (win7/64).

Christian
Chr. Maercker
2017-05-16 15:11:23 UTC
Permalink
Post by Christian Steins
Danke, wie heißt die deutsche Übersetzung für den Punkt
"1.0 SMB/CIFS" im Windows-Features Dialog?
Kann ich bei mir nicht finden (win7/64).
Du meinst diese Zeile, oder?
"Open Windows features and uncheck SMB 1.0/CIFS File Sharing Support
(see Figure 4)."

Das ist für die Opensource-Version. Für die liefert M$ keine Hotfixes. ;-)
--
CU Chr. Maercker.
Christian Steins
2017-05-16 15:38:23 UTC
Permalink
Post by Chr. Maercker
Post by Christian Steins
Danke, wie heißt die deutsche Übersetzung für den Punkt
"1.0 SMB/CIFS" im Windows-Features Dialog?
Du meinst diese Zeile, oder?
"Open Windows features and uncheck SMB 1.0/CIFS File Sharing Support
Ja.
Post by Chr. Maercker
Das ist für die Opensource-Version.
Hab' ich was verpasst?

Christian
Chr. Maercker
2017-05-17 07:10:41 UTC
Permalink
Post by Christian Steins
Hab' ich was verpasst?
Anscheinend. Es gibt seit wenigen Jahren ein freies Windows, natürlich
nicht von M$. Bisher aber keinerlei Einsatzerfahrungen damit.
--
CU Chr. Maercker.
Stefan Kanthak
2017-05-16 15:12:36 UTC
Permalink
Post by Stephan Gerlach
Es gibt auch Patches für ältere Windows Versionen, u.A. auch für Windows XP
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Welche Sicherheitslücke genau wird eigentlich bei dieser Schadsoftware
ausgenutzt?
Initial (d.h. der Trojaner): PEBKAC
Sekundaer (d.h. der Wurm): Eternal Blue alias MS17-010 alias KB4012598
Post by Stephan Gerlach
Laut Medien-Berichten kommt die Software per Email(?) rein,
UND per SMB; wenn sie per Email reinkommt, dann verbreitet sie sich
drinnen per SMB.
Post by Stephan Gerlach
und sie "funktioniert" nur auf Windows-Rechnern.
Angriffe auf PEBKAC "funktionieren" unabhaengig vom Betruebssystem.
CTB-Locker und einige andere Trojaner funktionieren auf Betruebssystemen
ungleich Windows; wegen deren marginaler Verbreitung lohnen sich Angriffe
auf diese fuer Schaedlingsverbrecher aber nicht (oder weniger).

JFTR: ein (per automatischer Updates) aktuell gehaltener Windows-Rechner
ist vom Wurm NICHT angreifbar.
Auf einem von einem RICHTIGEN Administrator eingerichteten Windows-
Rechner kann PEBKAC den Trojaner nicht ausfuehren.

Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
Post by Stephan Gerlach
Wie funktioniert das "Verschlüsseln" der Daten? Werden tatsächlich
irgendwelche Bits in diesen Dateien geändert? D.h. so, daß diese Dateien
auch von einer anderen ("sauberen") Partition aus mit einem ganz anderen
Betriebssystem nicht lesbar sind.
JA!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Michael Unger
2017-05-16 17:25:02 UTC
Permalink
Post by Stefan Kanthak
[...]
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
Post by Stefan Kanthak
[...]
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.

Michael
--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.
Stefan Kanthak
2017-05-16 17:43:47 UTC
Permalink
Post by Michael Unger
Post by Stefan Kanthak
[...]
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das hätte schon ausgereicht?
Ja.
Ebenfalls ausreichend ist, diesen Dienst NICHT von aussen erreichbar
zu machen, sprich die ab Werk von der Windows-Firewall geschlossenen
Ports nicht zu oeffnen.
Post by Michael Unger
Wieso lässt man eigentlich auf einem Client einen SMB-Server-Dienst
laufen??
1. "das hamwer schon immer so gemacht"
2. die Windows-Firewall erlaubt ab Werk keinen Zugriff darauf; ein
Administrator muss den Zugriff erst freischalten.

JFTR: dummerweise animieren Windows Vista und Nachfolger ihren
"Administrator" zu letzterem, sobald der sich beispielsweise
die Netzwerkuebersicht anzeigen lassen will...
Post by Michael Unger
Post by Stefan Kanthak
[...]
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.
Oder Administratoren, die dieser Bezeichnung wuerdig sind, zu selten.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Georg Schwarz
2017-05-16 19:53:49 UTC
Permalink
Post by Michael Unger
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.
hier hätten sogar logisch getrennte Netze ausgereicht.
Stefan Kanthak
2017-05-16 20:18:54 UTC
Permalink
Post by Michael Unger
Post by Stefan Kanthak
[...]
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das hätte schon ausgereicht?
Zusaetzlich zu meiner Antwort <news:offds7$is5$***@news.mixmin.net>:

1. Eternal Blue braucht DirectSMB auf Port 445, er nutzt NICHT das
klassische "NetBIOS over TCP/IP" auf den Ports 137, 138 und 139;

2. ausserdem funktioniert es nur mit SMBv1, nicht mit SMBv2 oder SMBv3
alleine.

Damit sind Windows 2000 bis 2003 nach Deaktivieren von DirectSMB per

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:0

(siehe <https://support.microsoft.com/en-us/kb/940684>) auch ohne den
Patch nicht mehr angreifbar, ebenso Windows Vista sowie neuere nach
Deaktivieren von SMBv1 per

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters]
"SMB1"=dword:0

Falls der Angriff auch ohne DirectSMB oder nur mit SMBv1 realisierbar
sein sollte und ein neuer Exploit entwickelt wuerde, waere das nicht
mehr ausreichend.
Nach derzeitigem Stand ist aber beides NICHT der Fall!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Chr. Maercker
2017-05-17 07:21:50 UTC
Permalink
Michael Unger wrote:
[Server-Dienst deaktivieren genügt gegen WannaCry]
Post by Michael Unger
Das hätte schon ausgereicht?
Ja: unter XP wird lediglich srv.sys vom Hotfix ausgetauscht.

Wieso lässt man eigentlich auf einem Client
Post by Michael Unger
einen SMB-Server-Dienst laufen??
z.B. weil die blöden Dinger sonst nicht in einem AD laufen und nicht mit
selbigem remote verwaltbar sind. Es gibt natürlich diverse andere
Dienste, die in dem Ruf stehen, völlig überflüssige Sicherheitslücken zu
sein ... die Doku dazu ist freilich spärlich genug. Für W2k gab es eine
gute Website dazu,
http://www.different-thinking.de/windows_2000_dienste.php
deren einstiger Inhalt gilt zum großen Teil noch heute. Sie ist halt nur
unvollständig geworden, weil spätere Windosen zig neue Dienste
mitbringen. Für Win7 habe ich nur ansatzweise Vergleichbares gefunden:
http://home.snafu.de/jasiek/VistaDienste.html
Post by Michael Unger
Anscheinend sind physikalisch getrennte Netzwerke vielen inzwischen zu
teuer.
Isolierte VLANs würden in dem meisten Fällen schon reichen, leider ist
das oft ebenso unpraktisch wie physikalische Trennung. Die Rechner
wurden ja lange genug immer abhängiger vom Netzwerk gemacht.
--
CU Chr. Maercker.
Georg Schwarz
2017-05-19 17:15:07 UTC
Permalink
Post by Chr. Maercker
http://www.different-thinking.de/windows_2000_dienste.php
Stephan Gerlach
2017-05-19 22:29:20 UTC
Permalink
Post by Michael Unger
Post by Stefan Kanthak
[...]
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
und Privat-Personen mit ihren "Heim-Computern" eher weniger?

Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
Server-Dienst aktiviert.

JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
betroffenen Firmen das Dilemma initial ausgelöst wurde?
--
Post by Michael Unger
Eigentlich sollte Brain 1.0 laufen.
gut, dann werde ich mir das morgen mal besorgen...
(...Dialog aus m.p.d.g.w.a.)
Christian Steins
2017-05-20 09:37:32 UTC
Permalink
Post by Stephan Gerlach
Post by Michael Unger
Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
und Privat-Personen mit ihren "Heim-Computern" eher weniger?
Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
Server-Dienst aktiviert.
Ja, ist sicherlich ein Grund. Und selbst wenn der Dienst aktiviert ist
wird er in der Regel durch die Router-Firewall geblockt.

Christian
Stefan Kanthak
2017-05-20 12:02:11 UTC
Permalink
Post by Stephan Gerlach
Post by Michael Unger
Post by Stefan Kanthak
[...]
Dieser Angriff war seit zwei Monaten VORHERSEHBAR!
Jeder IT-Verantwortliche/Administrator haette alle ueber's Netzwerk
erreichbaren Windows-Rechner UMGEHEND aktualisieren muessen, bzw. die
nicht-aktualisierbaren Windows-Rechner vom Netzwerk trennen oder zumindest
deren Server-Dienst deaktivieren muessen!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Das hätte schon ausgereicht? Wieso lässt man eigentlich auf einem Client
einen SMB-Server-Dienst laufen??
Könnte das evtl. eine Erklärung dafür sein, daß (laut Medienberichten)
vorwiegend Firmen-Rechner bzw. deren ganze Netzwerke betroffen waren,
und Privat-Personen mit ihren "Heim-Computern" eher weniger?
NEIN!
Windows- (historisch: NetBIOS- bzw. NetBEUI-) Netzwerkprotokolle sind
"peer to peer"-Protokolle, deren P2P-Funktionen gerade in Heim- oder
Privat-Netzwerken genutzt werden, die typischerweise ohne zentralen
Server alias "Domain Controller" bzw. ActiveDirectory betrieben werden.

In Heim- oder Privatnetzwerken findest Du typischerweise nur eine
KLEINE Anzahl von Geraeten, in Firmennetzwerken dagegen VIELE; zudem
berichten Medien eher selten ueber befallene Heimnetzwerke, weil das
1. kaum interessant ist und es 2. typischerweise nur den Benutzern
dieser Heimnetzwerke auffaellt, die 3. typischerweise nicht die Medien
informieren.

JFTR: in China ist ein Sack Reis umgefallen!
Post by Stephan Gerlach
Denn welche Privat-Person hat denn schon zu Hause standard-mäßig den
Server-Dienst aktiviert.
ALLE!
Der Server-Dienst ist AB WERK aktiviert und wird IMMER gestartet;
die "versteckten" Freigaben \\<computer>\IPC$, \\<computer>\ADMIN$
etc. sind standardmaessig vorhanden (letztere nur ab Professional).

Nur: vor dem Server-Dienst steht noch die Windows-Firewall, und vor
dieser ggf. noch die Firewall des DSL-Routers!
Die Windows-Firewall gibt die Ports 445 sowie 137 bis 139 aber frei,
wenn der Benutzer^WAdministrator

1. die erste Freigabe einrichtet (was bei der Installation eines
lokalen Druckers passieren kann: die werden standardmaessig
freigegeben);

2. ab Windows Vista die Netzwerkuebersicht oeffnet und dem Hinweis
"hier klicken, wenn Sie alle Geraete sehen wollen" folgt.

JFTR: fuehre auf Windows mal "ftp.exe ftp.adobe.com" aus.
Post by Stephan Gerlach
JFTR: Kennt jemand den Original-Text einer Email, mit welcher in den
betroffenen Firmen das Dilemma initial ausgelöst wurde?
Bisher hat niemand eine solche Mail entdeckt bzw. niemand darueber
geschrieben.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)
Loading...