Background news

Ondanks de uitbraak van de WannaCry-ransomware die bedrijven via een SMB-lek in Windows aanviel, zijn er nog altijd 5,5 miljoen systemen met een open SMB-poort (445) die via internet vindbaar is, zo stelt het Amerikaanse beveiligingsbedrijf Rapid7 aan de hand van eigen onderzoek.

Vorig jaar ging het nog om 4,6 miljoen systemen. Van 800.000 gevonden systemen met een open SMB-poort kon worden vastgesteld dat ze Windows draaien. SMB wordt onder andere gebruikt voor het delen van bestanden en printers, alsmede beheer op afstand. "Het verschijnen van deze ransomwareworm benadrukt het belang dat individuen en organisaties meer moeten stilstaan bij wat ze aan het internet blootstellen. Er is geen reden om SMB volledig bloot te stellen zonder firewall of het op andere manieren beperken van de toegang", aldus de onderzoekers in het rapport (pdf).

Criminelen infecteren op dit moment Linux-servers via een beveiligingslek in Samba dat eind mei werd gepatcht. Een week na het uitkomen van de beveiligingsupdate werd de eerste aanval al waargenomen, zo meldt het Russische anti-virusbedrijf Kaspersky Lab.

Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Via de kwetsbaarheid kan een aanvaller willekeurige code met rootrechten op de Samba-server uitvoeren. In het geval van de nu waargenomen aanvallen wordt er een backdoor op de server geïnstalleerd en een progamma dat de server naar de digitale valuta Monero laat minen.

Een groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.

Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.

De meeste WordPress-sites zijn onveilig omdat ze verouderde versies van het contentplatform draaien waarin beveiligingslekken aanwezig zijn. Dat laat IBM op basis van eigen onderzoek weten. Hoewel WordPress sinds oktober 2013 met de lancering van WordPress 3.7 over een automatische updatefunctie beschikt die kleine core-updates installeert, blijkt dat veel websites achterlopen.

Van de WordPress-sites die IBM onderzocht had minder dan 4 procent de meest recente versie geïnstalleerd. Daardoor lopen websites het risico om te worden gehackt en bijvoorbeeld voor phishing, spam, malware of het doorsturen van gebruikers naar andere websites te worden gebruikt. Verdere analyse van de gehackte WordPress-sites laat zien dat zelfs relatief "up-to-date" websites worden gecompromitteerd.