Neue Bedrohung nutzt SambaCry — Linux-Nutzer sollten updaten

Originalartikel von Mohamad Mokbel, Tim Yeh, Brian Cayanan

Eine sieben Jahre alte Sicherheitslücke in Samba, der quelloffenen Implementierung des SMB-Protokolls, ist im Mai geschlossen worden, wird aber weiter ausgenutzt. Einem Security Advisory zufolge erlaubt die Lücke einem Angreifer, eine Shared-Bibliothek auf eine beschreibbare Freigabe hochzuladen, sodass der Server sie lädt und ausführt. Bei Erfolg könnte der Akteur eine Befehls-Shell auf einem angreifbaren Gerät öffnen und dies unter seine Kontrolle bringen. Betroffen sind alle Versionen von Samba seit 3.5.0.

Die Sicherheitslücke (CVE-2017-7494) wurde SambaCry genannt, weil sie Ähnlichkeiten zur SMB-Lücke aufweist, die WannaCry genutzt hatte. Sie ist im Juni 2017 entdeckt worden, als der Kryptowährungs-Miner EternalMiner/CPUMiner sie dazu missbrauchte, um Linux-Maschinen zu korrumpieren und Monero zu schürfen. Das vorhergehende Sample, das Trend Micro erhielt, zeigte, dass SambaCry nur Server im Visier hatte und dass die Payload die Kryptowährung schürfende Schadsoftware war. Neue Daten aber beweisen, dass Angreifer SambaCry nun für weitere Zwecke einsetzen.

Diese neuere Schadsoftware wurde als ELF_SHELLBIND.A erkannt und öffnet ebenfalls eine Befehls-Shell auf dem Zielsystem. Doch gibt es markante Unterschiede zu früherer Malware, die SambaCry ausnutzte. Zum Einen zielt sie auf Geräte aus dem Internet der Dinge (IoT) – vor allem solche in Network Attached Storage (NAS, die von kleinen und mittleren Unternehmen favorisiert werden. Zum Anderen hat ELF_SHELLBIND unterschiedliche Architekturen im Visier, etwa MIPS, ARM und PowerPC. Es ist das erste Mal, dass SambaCry ohne Kryptowährungs-Miner als Payload ausgenutzt wurde. Eine Analyse der Schadsoftware liefert der Originalbeitrag.

Fazit

Es gibt bereits einen Betriebssystem-Patch für die Sicherheitslücke. Auch müssen Angreifer einen Schreib-Zugriff auf eine Freigabe im Zielsystem haben, um die Payload abzulegen – ein die Zahl der Infektionen einschränkender Fakt.

Nutzer, die regelmäßig aktualisieren, sind also nicht in Gefahr. Doch sind Unix- oder Linux-basierte Geräte (die den Hauptanteil an IoT-Geräten ausmachen) schwerer zu schützen. Ist Samba aktiviert, und hat der Hersteller keine Patches versandt, so sind die Geräte angreifbar. Nutzer sollten aktiv updaten oder den Hersteller kontaktieren.

Trend Micro Deep Security™ und Virtual Patching bieten Schutz für Endpunkte vor Bedrohungen wie dateilosen Infektionen oder solchen, die nicht gepatchte Sicherheitslücken missbrauchen. Folgende DPI Regel dient dem Schutz vor der aktuellen Schadsoftware:

  • 1008420-Samba Shared Library Remote Code Execution Vulnerability (CVE-2017-7494)

Trend Micro™ Deep Discovery™ liefert Erkennung, tiefgehende Analysen und proaktive Reaktion auf Angriffe, die Exploits nutzen. Die Lösung nutzt spezialisierte Engines, anpassbare Sandboxen und eine nahtlose Korrelation über den gesamten Angriffszyklus hinweg, sodass es möglich ist, diese Art von Attacken auch ohne Engine oder Pattern-Updates zu erkennen. Vor der aktuellen Bedrohung sind Anwender über folgende DDI-Regel geschützt:

  • 3733 SHELLBIND – TCP (Request)

TippingPoint-Kunden schützt der Filter:

  • 29058: TCP: SambaShell Checkin


SHA256 for ELF_SHELLBIND.A:

c27594b1a1ecee6a62adbaee5b00bad8e3540fe98ff3bac17fef03e0ebd62914
516bafdede5e7a019a71028a7125f98190ee7ab71d03bc3041c9943324a78df5
11f47c90393082e7fdc4213d3b888ef8b7c121a86658077465b03bb7857bc540

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*