Durch eines der geleakten NSA Tools sind 100.000+ Windows Server im Internet kompromittiert worden. Natürlich sind kompromittierte Rechner im Internet nicht wirklich was Neues, trotzdem zeigt es mal wieder die Leichtfertigkeit und auch die Ignoranz vieler Betreiber von Windows Systemen, die aus dem Internet direkt erreichbar sind.
Damit ein System kompromittiert werden kann, muss dieses über die TCP Ports 445 oder 139 zu erreichen sein. Einen Patch gegen die Sicherheitslücke gab es von Microsoft dazu im März mit der Bezeichnung MS17-010. Bei dem Angriff handelt es sich um eine dateilose Infektion, welche für die meisten Virenscanner aus diesem Grund wohl nicht zu entdecken ist. Da der Angriff über das Netzwerk stattfindet können diese auch durch ein IPS unterbunden werden. Entsprechende Snort Rules gibt es bei GitHub. Die Frage ist aber eine ganz andere: Warum sind Systeme mit dem Betriebssystem Microsoft Windows über den Services CIFS überhaupt direkt aus dem Internet zu erreichen? Dafür kann es keine plausible technische Erklärung geben, warum man so etwas tun sollte. Dass dies so ist, daran besteht nun mal kein Zweifel, Sicherheitsforscher haben bereits über 100.000 infizierte Systeme im Internet entdeckt. Die tatsächlichen Ziel dürfte daher noch viel höher sein.
Sicherheitslücken in Betriebssystemen und Anwendungen gab es in der Vergangenheit, gibt es jetzt und wird es auch in Zukunft immer geben. Das ist einfach so und es lässt sich auch nie ganz abstellen, eine uneingeschränkt fehlerfreie Software kann es einfach nicht geben. Aber das was hier passiert, ist etwas ganz völlig anderes. Hier sind Services zu erreichen die rein Garnichts im Internet verloren haben. Der Grund dafür ist, und man muss es leider sagen, die Inkompetenz des Betreibers bzw. des technischen Verantwortlichen für den Server oder Dienst. Auch wenn es einfach ist, den eigenen oder durch ein paar Mausklicks im Bestellportal eines der Anbieter einen Windows Server online zu bringen, muss man trotzdem wissen was man tut. Wobei sich mir immer die grundsätzliche Frage stellt, was hat überhaupt ein Windows Server direkt im Internet verloren? Nur weil es schön bunt und vermeintlich „einfach“ zu bedienen ist. Alleine der Gedanke, dass RDP offen ist und es schon Windows Server im Internet gab, als diese Verbindung noch nicht verschlüsselt wurde, ist völlig abwegig. Bei Telnet haben es zum Glück die meisten verstanden, dass SSH doch die viel bessere Wahl ist, ftp hält sich dagegen immer noch hartnäckig, wobei daran gearbeitet wird es auch endlich verschwinden zu lassen. Die Tage von ftp sind (hoffentlich) bald gezählt. Alleine der RDP Zugriff zeigt aber auch wie blauäugig technisch Verantwortliche hier handeln. Das ist aber jetzt nicht alleine auf das Betriebssystem Microsoft beschränkt. Microsoft bemüht sich merklich in den letzten Jahren die Sicherheit ihrer Systeme zu erhöhen. Bei Linux & Co. ist dieses Blauäugigkeit auch häufiger der Fall als man annimmt. Es sind auch hier ausreichend extern erreichbare Systeme online die aus dem Support sind oder ihre Anwendungen nicht gepflegt werden. Auch bei Linux & Co. immer wieder gerne genommen DB Listener oder Backup Services, die dann zum Einbruch in das System zusätzlich genutzt werden. Ganz vorne dabei sind „Internetagenturen“ die irgendwann mal der Webauftritt online gebracht haben und die Wörter Update und Patchmanagement nicht kennen – Hauptsache es sieht schön aus. So gesehen ist es im Internet ein grundsätzliches Problem. Man hat zwar immer die Hoffnung, dass solche Ereignisse zu einem Umdenken führen, aber das passiert wie eigentlich auch immer dann doch nicht.
Was „DoublePulsar“ mal wieder gezeigt hat ist, wie schnell sich so etwas im Internet ausbreitet obwohl es einen Patch gibt, der nur einfach nicht installiert worden ist. Dies ist auch eines unser aller Grundprobleme, dass technisch Verantwortliche ihren Aufgaben eines für das System angepassten Wartungs- und Patchmanagement nicht nachkommen. Ja, es ist nun mal eine lästige Fleißaufgabe aber es führt auch nun mal kein Weg daran vorbei. Zumal es ja nun wirklich genug Werkzeuge für den Administrator gibt, um hier mit entsprechender Automatisierung viele Aufgaben abzufangen. Patches sind aber nur die eine Seite der Medaille, die Logs müssen auch entsprechend geprüft und die Systemmeldungen überwacht werden.
Beispiele wie man es nicht machen sollte, gibt es durch „DoublePulsar“ in Quantitativ ausreichende Zahl, dass man sich doch einmal Gedanken machen und auch Taten folgen lassen sollte. Wer noch ein weiteres Beispiel benötigt, der muss nur einfach warten, es wird zum 100 Prozent eintreten.