Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware

Originalbeitrag von Trend Micro

Die wichtige Rolle des Patch-Managements zeigt sich immer dann, wenn Angreifer Sicherheitslücken als Eintrittspunkte in die Zielsysteme und –netzwerke missbrauchen. Der Fall der berüchtigten SAMSAM Crypto-Ransomware verdeutlicht dies. Die Schadsoftware verbreitet sich nicht über bösartige URLs oder Spam, sondern nutzt Sicherheitslücken in nicht aktualisierten Servern.

Im März hatte SAMSAM das Kentucky-Krankenhaus getroffen und alle Dateien, einschließlich derer im Netzwerk verschlüsselt. Dann wendete sich der Schädling dem Bildungswesen zu. In einem kürzlich erfolgten Angriff wurde eine Vielzahl von Servern und Systemen über JBoss Server-Sicherheitslücken getroffen. JBoss ist ein quelloffener Anwendungsserver, der mit Java läuft. Einem Bericht von Cisco zufolge waren auch Systeme mit Destiny-Software betroffen, die vor allem in Schulen in der ganzen Welt verwendet wird. Follett hat bereits einen Patch für Destiny veröffentlicht.

Herausforderungen beim Patchen

Auch wenn SAMSAM nicht die erste Bedrohung ist, die Sicherheitslücken nutzt, um in ein Netzwerk einzudringen, so bringt ihr Vorhandensein doch eine weitere Risikoschicht ins Unternehmen, denn wichtige vertrauliche Daten könnten verschlüsselt werden und damit verloren gehen.

Zwar handelt es sich bezüglich der Infektionsvektoren und der Fähigkeiten rund um das Netzwerk-Mapping um eine sehr ausgefeilte Bedrohung, doch das Aufspielen von Patches und Aktualisieren der Systeme kann den Angriffszyklus unterbrechen. Natürlich haben IT-Admins tägliche Herausforderungen wie das Aufrechterhalten des Betriebs zu meistern und dennoch den Perimeter zu sichern. Veröffentlicht ein Anbieter Sicherheits-Fixes für einen Zero-Day oder eine Lücke, so müssen IT-Admins erst recherchieren und die Updates testen, bevor sie sie einspielen.

Eine Studie hat ergeben, dass die durchschnittliche Dauer der Phase von der Veröffentlichung eines Patches bis zum Einspielen etwa 30 Tage sind. Währenddessen können diese Systeme angegriffen werden.

Notwendigkeit des virtuellen Patchings

Unternehmen können virtuelles Patching wählen, um die Herausforderungen des Patch-Managements zu meistern. Diese Lösung erlaubt es IT-Admins, angreifbare Server und Endpunkte zu schützen, ohne Betriebsunterbrechung und ohne zusätzliche Betriebskosten. Virtuelle Patches schirmen Schwachstellen vor Exploits ab, bis ein Fix vorhanden ist. Somit lassen sich Patches dann aufspielen, wenn es der Betrieb erlaubt. Zudem sind auch Altanwendungen und –systeme geschützt.

Trend Micro Deep Security besitzt die Fähigkeit des virtuellen Patchings mit Intrusion Detection und Prevention. Da Bedrohungen und Angriffe über Sicherheitslücken heutzutage so häufig sind, gehört virtuelles Patching genauso zur Grundsicherheit wie Anti-Malware und die Firewall.

Trend Micro Deep Security und Vulnerability Protection schützen Anwender mit folgender DPI-Regel vor jeder Bedrohung, die sich der JBoss-Lücke bedient:

  • 1007532-JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
  • 1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass

Auch die Endpoint-Lösungen wie Trend Micro™ Security, Trend Micro™ Smart Protection Suites und Trend Micro Worry-Free™ Business Security schützen vor SAMSAM. Systeme mit Trend Micro™ Smart Protection Suites sind auch über Trend Micro Endpoint Application Control geschützt.

TippingPoint wiederum stellt die folgenden Filter gegen die Bedrohung zur Verfügung:

MainlineDV

  • 9825: HTTP: JBoss jmx-console Authentication Bypass
  • 10502: HTTP: JBoss jmx-console Deployer Command Execution
  • 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
  • 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
  • 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)

ThreatDV

  • 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
  • 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
  • 24140: TCP: Ransom:MSIL/Samas.B Download Attempt

Es empfiehlt sich auch, die JBoss-Server auf die neueste Version zu aktualisieren. Denn einige der Lücken sind bereits alt (z.B. CVE-2010-0738 und CVE-2007-1036), und es gibt bereits Patches dafür.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*