Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Langjährige Sicherheitslücken

Gelesen: 22023 Kommentare: 7 Rating: 12

Freitag, 5. Juni 2020

Mai 2020. Unser Support-Team erhielt eine seltsame Anfrage:

Die DNS-Adresse der Server wird durch 8.8.8.8 und 9.9.9.9 ersetzt, obwohl Dr.Web installiert ist.

Die beiden Adressen sind bekannt und nicht bösartig. Aber die Änderungen liegen ganz offensichtlich vor und wurden nicht vom Administrator vorgenommen. Daher müssen wir dem Problem nachgehen. Dafür brauchen wir mehr Informationen. Unser spezialisiertes Dr.Web Tool kommt zu Hilfe. Los geht's!

Zwischenergebnis Nr. 1. Die Analyse der gesammelten Informationen ergab, dass die Prüfung potenziell gefährlicher Software deaktiviert war.

#drweb

Das Problem liegt also nicht am Virenscanner. Wäre er ordnungsgemäß konfiguriert worden, hätte er helfen können!

Wir forschen weiter, um herauszufinden, wie die fremde Software in den Computer gelangt ist.

Der letzte Bericht stellte verdächtige Netzwerkaktivitäten auf einem der Server fest.

Dabei handelt es sich um einen Brute-Force-Angriff. Ein umfassender Scan ist erforderlich.

Raten Sie mal, welches Betriebssystem auf dem Server installiert war? Linux. Ohne Virenschutz: Viele glauben immer noch, es gäbe keine Viren für Linux!

Nun müssen wir bösartige Funktionen der Malware analysieren:

RDP-Brute-Force-Angriffe, EternalBlue-Exploit, BlueKeep- und SMBGhost-Schwachstellen.

Alles ist schon längst bekannt. Hier möchten wir Sie darauf aufmerksam machen, dass WannaCry diese Sicherheitslücke noch 2017 ausnutzte.

Es ist schon lange her. Aber nicht alle haben den Patch installiert. So könnten Cyberkriminelle auch heute noch diese Schwachstelle ausnutzen.

Erstens sollten Sie sicherstellen, dass alle Patches für Ihr Betriebssystem und alle Sicherheitsupdates installiert sind. Stellen Sie sicher, dass Ihr Virenschutzprogramm ordnungsgemäß arbeitet und korrekt aktualisiert wird.

Installieren Sie in erster Linie den Patch MS17-010. Er wurde auch für XP veröffentlicht. Auf dieser Workstation ist der Patch nicht installiert. Die Folge: Zahlreiche bösartige Aufgaben und Dienste.

Dieses Sicherheitsupdate zieht sich wie ein roter Faden durch die ganze Anfrage. Stellen Sie als erstens sicher, dass dieser Patch installiert ist – Diese Regel gilt für alle Workstations.

Prüfen Sie dazu die Version der Datei %systemroot%\system32\drivers\srv.sys wie in diesem Artikel beschrieben (siehe Tabelle „Nach %systemroot%\system32\drivers\srv.sys-Dateiversion prüfen“).

Vergleichen Sie die Dateiversion auf Ihrer Workstation mit der Dateiversion für Ihr Betriebssystem in der Tabelle. Falls eine ältere Version installiert ist, fehlt der Patch und Sie sollten ihn umgehend installieren. Falls die angegebene oder eine höhere Version installiert ist, ist der Patch vorhanden.

Der Patch ist auf jeder Workstation unentbehrlich. In Ihrem Fall handelt es sich um die Infektion eines lokalen Netzwerks bzw. eines Unternehmensnetzwerks. Um Angriffe innerhalb eines solchen Netzwerks zu verhindern oder zu reduzieren, müssten Sicherheitsupdates auf allen Workstations installiert werden.

Weist mindestens eine Workstation Sicherheitslücken auf, läuft das gesamte Netzwerk Gefahr, infiziert zu werden. Cyberkriminelle könnten auf diese Workstation über Fernzugriff eindringen und einen beliebigen Code ausführen: ein Skript oder eine ausführbare Datei laden und starten und über diesen Rechner auf weitere Workstations im Netzwerk zugreifen. Sie könnten RDP-Brute-Force-Angriffe vornehmen, Daten verschlüsseln, personenbezogene und vertrauliche Informationen stehlen etc.

Dabei könnten andere Workstations und Server im Netzwerk vor EternalBlue-Angriffen von außen, aber nicht vor internen Angriffen innerhalb des lokalen Netzwerks geschützt sein.

Falls Sie den Patch nicht installieren können, finden Sie die Ursache heraus. Sonst werden alle Sicherheitsmaßnahmen zu einer Sisyphusarbeit.

Ohnedies laufen die Workstation und das gesamte Netzwerk Gefahr, zum Ziel eines schlimmeren Angriffs zu werden.

Installieren Sie also die Patches und desinfizieren Sie das System.

Auszug aus der Antwort des technischen Supports von Doctor Web.

„Auf dieser Workstation ist der Patch nicht installiert – Als Folge wimmelt es von zahlreichen bösartigen Aufgaben und Diensten.“

Solche Anfragen sind gang und gäbe!

Am selben Tag:

Der Virus hat alle Ordner infiziert, zu denen alle Mitarbeiter im Netzwerk Zugang haben. Das Löschen hilft nur vorübergehend – Die Datei taucht wieder auf.

Darüber hinaus wurden verdächtige Aktivitäten im Task-Manager mit demselben Namen DOC001.exe und zahlreiche geklonte Systemprozesse erkannt, die den gesamten Computerspeicher verbrauchen. Im Speicherort der Datei befinden sich dieselbe Datei und die Textdatei pools.txt, die eine Reihe von Links enthält. Die Namen der Links enthalten Wörter, die im Zusammenhang mit dem Mining von Kryptowährung stehen.

Es gibt Störungen im gesamten Netzwerk. Es entstehen erhebliche Schwierigkeiten beim Zugriff auf die Server, auf denen sich die für die Arbeit notwendigen Programme befinden. Alle Workstations befinden sich in der Domain und keine der Workstations hat gleichzeitig Internetzugang und Zugang zur Domain.

Auch dies hätte vermieden werden können.

#Linux #Antivirus #Patch #Infektionsmerkmale #Dr.Web_Technologien #Sicherheitslücken

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Um solche Situationen zu vermeiden:

  1. Installieren Sie alle Patches.
  2. Installieren Sie ein Virenschutzprogramm auf allen Rechnern.
  3. Schränken Sie die Funktion der Virenschutzsoftware nicht durch Sperrgebiete ein.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer