Mindent megtesz a WannaCry-tűzoltásra a Microsoft

Globálisan mintegy 200 ezer számítógépen söpört végig május 12-én a legújabb zsarolóvírus, amely az áldozatok titkosítással túszul ejtett fájljait, műfajához hűen csak a bitcoinban kifizetett váltságdíj ellenében engedi vissza a felhasználóknak. Az eset súlyosságát jól mutatja (az említett 200 ezres számon túl), hogy a hiba elhárítására a Microsoft rendhagyó módon a már nem támogatott rendszerekre is kiküldött egy javítást, hogy a kártevő terjedését megállítsa, így a Windows XP, 8 és Windows Server 2003 is kapott a patch-ből - emellett természetesen a Windows Defendert is felkészítette a rosszindulatú szoftver kivédésére.

A WannaCry néven ismertté vált kártevő az egyéni felhasználók gépei mellett rengeteg szervezet, nagyvállalat rendszerébe is beférkőzött, a 150 országot érintő támadásnak a Cisco Talos biztonsági szakértőinek blogposztja szerint többek között a spanyol Telefonica, a brit egészségügyi ellátórendszer (National Health Service) és az amerikai FedEx számítógépei is áldozatul estek. A malware különös hatékonyságának oka, hogy készítőinek sikerült rátenni a kezüket az egyesült államokbeli NSA Nemzetbiztonsági Ügynökség által felhalmozott sebezhetőségekre, amelyek még áprilisban szivárogtak ki a szervezettől.

A zsarolószoftver egész pontosan egy SMB (Server Message Block) sebezhetőséget használ ki, a 445-ös TCP porton keresztül pásztázva áldozatok után - a problémát egyébként a Microsoft már korábban, márciusi javításcsomagjában (MS17-010) orvosolta, a frissítés nélküli gépeket persze a malware így is szép számmal meg tudta fertőzni. A kártevő a sérülékenység kiaknázásához az ügynökség EternalBlue néven kiszivárgott eszközét vetette be, majd a DoublePulsar névre hallgató, jellemzően a már fertőzött rendszerekhez való hozzáféréshez használt backdoort is beépíti. Utóbbival aztán újabb malware-eket telepíthet a rendszerre. Ezt természetesen akkor is megteszi, ha korábbi DoublePulsar telepítést talál a gépen, amire ugyancsak jó esélye lehetett a kártevőnek, miután utóbbit már hetekkel ezelőtt lehetett detektálni több ezer online kapcsolattal rendelkező kötött hoston, ami vélhetően már a kiszivárogtatás eredménye.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

Az eset kapcsán a Microsoft különösen éles állásfoglalást fogalmazott meg, amelyben elítéli a hírszerző ügynökségek és egyéb szervezetek jellemző gyakorlatát, mikor saját használatra nagy mennyiségű hasonló sebezhetőséget halmoznak fel, ezzel a fentiekhez hasonló veszélynek téve ki a felhasználókat - a vállalat ahhoz hasonlította az esetet, mint ha valaki Tomahawk rakétákat lopna az Egyesült Államok hadseregétől. A hasonlat meglehetősen találó: az állami szereplők a sebezhetőségeket fegyverként gyűjtik és vetik be, azok létéről pedig a fejlesztőcégeket nem értesítik, így a javítások sem érkeznek.

Az NSA által is használt sérülékenység ugyanakkor, habár nagyon felgyorsította a fertőzés menetét, csak egy volt a támadási vektorok közül, a WannaCry terjesztéséhez a támadók klasszikus phising és spamkampányokat is bevetettek. Utóbbiak ellen egyébként szintén foghíjas a Windows védelme, ha egy emailkliensbe szkriptként érkezik malware, akkor a megbízhatónak tekintett szkriptértelmező hajtja végre az utasításokat, és nem valami gyanús EXE, amit jobb eséllyel lehet blokkolni, például app-fehérlistázással.

A WannaCry pusztítása ismét jól mutatja, milyen fontos a biztonsági frissítések azonnali telepítése, különösen vállalati környezetben. Előfordulhat persze olyan terület, ahol a frissítésre nincs lehetőség, ilyen például a már támogatását veszített szoftverek esete. Erre a Microsoft most soron kívül részben adott megoldást, az Windows XP-s, 8-as és Server 2003-as utólagos patch-ekkel, ez azonban sok áldozatnál az "eső után köpönyeg" kategóriát jelenti, erre értelemszerűen nem lehet hosszú távon építeni. Kiemelten fontos tehát a támogatását veszített rendszerek védelme is, ha azokat egy szervezetben valamiért nem cserélik le modern szoftverre, architekturálisan kell gondoskodni azok biztonságáról, például izolált futtatással, elzárva az online fenyegetések elől.

Az aktívan szolgálatban lévő Windows XP-s gépek között egyébként az Egyesült Királyságban használt, mintegy 15 millió font értékű MRI gépek is ott vannak, amelyek ráadásul, ahogy arra a Microsoft .NET biztonsági szakértője, Barry Dorrens tweetjében rámutat, egy külön szerveren tárolják a készített képeket. A helyzeten az sem segít, hogy egyes gépek gyártói akár egy évtizede csődbe mentek, ráadásul egy hasonló készülék lecserélése sem triviális, hiszen amellett, hogy sok millió fontos befektetésről van szó, telepítéséhez adott esetben akár az épületet is meg kell bontani. Vannak tehát területek, ahol a frissítés egyszerűen nem megoldható, ilyenkor jöhetnének jól a már említett izolálásra építő védelmi megoldások.

A ransomware-ámokfutás - legalábbis az első hullám - végére a szerencse tett pontot: a MalwareTech biztonsági kutatója a kártevő elemzésekor annak kódjában egy nem regisztrált doménnévre bukkant, amelyet a malware egy új számítógépre jutva mindig ellenőriz. A szakértő kíváncsiságból regisztrálta a címet, amely mint kiderült, egyfajta kapcsolóként működött - jelenleg legalábbis úgy tűnik, nagyban visszafogta a kártevő globális terjedését. Egyelőre nem világos, hogy a készítők miért építettek hasonló funkciót szoftverükbe, noha a MalwareTech szerint lehetséges, hogy sandboxban való futtatásra próbálták azt így felkészíteni, ebben az esetben ugyanis előfordulhat, hogy a regisztrálatlan cím is használatban lévőként jelenik meg, ezzel a mesterséges futtatókörnyezetben, IDS/IPS rendszerekben való észlelést nehezítette meg a kártevő.

A rosszindulatú szoftver története ugyanakkor sajnos nem ért véget az egyébként fülbemászó nevű iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domén regisztrálásával, az elmúlt napokban a kártevő újra és újra lecsapott, igaz nagyságrendekkel kevesebb áldozatot szedve, mint az ominózus pénteki napon. Ennek megfelelően, ahogy mindig most is érdemes meggyőződni róla, hogy telepítettük a legújabb biztonsági frissítéseket és különösen nagy körültekintéssel kezeljük a gyanúsnak tűnő emaileket.