Im Jahr 2017 infizierte ein WannyCry genannter Krypto-Wurm binnen weniger Stunden tausende Windows Computer weltweit. WannyCry, und einige Wochen später der verwandte Verschlüsselungstrojaner NotPetya, gelang dabei der Sprung von den Windows dominierten Office-Netzwerken in die Produktionsnetzwerke. Insbesondere NotPetya richtete Schäden in Höhe von mehreren Milliarden Euro weltweit an und brachte die Produktion in einigen Unternehmen zum Teil für mehrere Monate zum Erliegen. Erfahren Sie hier, warum Bedrohungen wie WannaCry derart gefährlich sind.

Fakten zu WannaCry

  • Die WannaCry Kampagne startete am 12. Mai 2017. Der Krypto Wurm infizierte in wenigen Stunden ca. 230 Tausend Computer in 150 Ländern.
  • WannaCry breitete sich in Microsoft basierten Computernetzwerken und übers Internet aus.
  • WannaCry verschlüsselte Anwenderdaten.
  • WannaCry verlangte vom Anwender Lösegeld in der Währung Bitcoins für die Herausgabe des Schlüssels zur Wiederherstellung der Daten.
  • WannaCry nutzte die nicht veröffentlichte Schwachstelle EternalBlue aus dem Arsenal der NSA, das vermutlich im August 2017 gestohlen wurde.

Warum ist WannaCry so gefährlich?

Die Gefährlichkeit einer Schwachstelle kann anhand ihrer CVSS V3 Metrik und ihrer Beschreibung, die man aus ihrem CVE Datensatz entnehmen kann, eingeschätzt werden. Die CVE Datensätze von veröffentlichten Schwachstellen sind in der (NVD) einsehbar.

CVSS V3 Metrik von WannaCry / CVE-2017-0144

CVSS V3 Metrik von WannaCry / CVE-2017-0144

Für eine detaillierte Beschreibung der Metriken und der möglichen Werte siehe das Common Vulnerability Scoring System Version 3.1 Specification Document.

Erläuterungen zur CVSS V3 Metrik

Der Angriff erfolgte auf Netzwerkebene, im Fall WannaCry über das SMB V1 Protokoll. Netzwerk kann etwa das Heimnetz, das ICE-Netz der Bahn, ein Unternehmensnetzwerk oder das Internet sein. Prinzipiell war jeder mit dem Internet verbundene Computer, der über TCP Port 445 erreichbar war, potenzielles Ziel für die Angreifer.

Die untere Abbildung zeigt die Windows Systeme, die über das SMB V1 Protokoll Stand 20. August 2019 vom Internet erreicht werden können. Wir können davon ausgehen, dass zum Zeitpunkt des Ausbruchs von WannaCry am 12. Mai 2017 eine ähnliche Anzahl von Systemen vorhanden war und diese noch nicht über die von Microsoft am 14. März 2017 veröffentlichten Patches verfügten.

Potenziell gefährdete Windows Systeme

Der Angreifer muss erheblichen Aufwand zur Ausnutzung der Schwachstelle investieren. Das war hier der Fall. Die NSA hatte die EternalBlue genannte Schwachstelle entdeckt und seit 2012 für eigene Zwecke genutzt. Erst nachdem das Schwachstellenarsenal der NSA im Jahr 2017 gestohlen wurde, informierte die NSA Microsoft über die Schwachstelle.

Zur Ausnutzung der Schwachstelle ist keine Anmeldung am Computer des Opfers oder am Windows Active Directory erforderlich. Der Angreifer muss also vor dem Start des Angriffs kein Social Engineering zur Beschaffung von Zugangspassworten betreiben.

Das Opfer muss zur Ausnutzung der Schwachstelle, im Gegensatz zu Phishing-Angriffen, nicht mitarbeiten.

Die Ausnutzung der Schwachstelle hat umfassende Auswirkungen, darunter:

Der Angreifer kann alle vertraulichen Daten einsehen.

Der Angreifer kann alle Daten verändern. Da der Angreifer auch das Sicherheitssystem, z.B. das Windows Eventlog, ändern kann, kann die Veränderung der Daten gegebenenfalls nicht nachvollzogen werden.

Der Angreifer kann die Daten löschen oder verschlüsseln, die Anwendungen oder das gesamte System löschen, zerstören oder abschalten.

Die CVSS V3 Metrik wird im sogenannten Access Vector zusammengefasst. Für CVE-2017-0144 lautet der Access Vector: (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

Die Metrik allein genügt nicht um die Gefährlichkeit von WannaCry einschätzen zu können. Eine Suche in der NVD nach WannaCry-artigen Schwachstellen zeigt:

Veröffentlichte Schwachstellen. Daten vom 20.8.2019.

Beschreibung von WannaCry / CVE-2017-0144

In 2017 wurden 181 Schwachstellen mit Access Vector (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) veröffentlicht. Angriffe vom Ausmaß WannaCry wurden jedoch nur zwei, WannaCry und NotPetya, bekannt. Für die abschließende Bewertung der Gefährlichkeit der Schwachstellen muss die CVE-Beschreibung analysiert werden.

Der Auszug “The SMBv1 server in Microsoft Windows … allows remote attackers to execute arbitrary code via crafted packets“ aus der Beschreibung teilt uns mit, dass der Angreifer nach Ausnutzung der Schwachstelle durch den SMBv1 Server beliebige Programme auf dem Computer des Opfers ausführen lassen kann. Es handelt sich bei WannaCry um eine sogenannte Remote Code Execution (RCE) Schwachstelle.

Der SMBv1 Server ist stark vereinfacht ein Betriebssystemprozess, der über das SMB V1-Protokoll gestellte Anfragen an den Serverdienst weiterleitet und Ergebnisse an den anfordernden Dienst zurücksendet. Der Serverdienst ist der zentrale Dienst im Windows Betriebssystem, der etwa Datei- und Druckdienste bereitstellt.

Der SMBv1 Server läuft im Sicherheitskontext des Benutzers SYSTEM, hat also die maximal möglichen Berechtigungen auf einem Windows Computer. Jedes Schadprogramm, das vom SMBv1 Server ausgeführt wird, erbt die Berechtigungen des Benutzers SYSTEM und verfügt damit über die maximal möglichen Berechtigungen auf einem Windows Computer.

Zusammenfassung

Durch Ausnutzung von Schwachstelle CVE-2017-0144 kann ein unprivilegierter Angreifer (PR:N) mit etwas Aufwand (AC:H) ohne Hilfe des Opfers (UI:N) übers Netzwerk (AV:N) maximal mögliche Berechtigungen auf dem Computer des Opfers erhalten.

Sind alle Remote Code Execution (RCE) Schwachstellen derart gefährlich?

Nein. Die nicht notwendige Unterstützung durch das Opfer, UI:N, macht den Unterschied. Am Beispiel CVE-2019-1197, einer RCE Schwachstelle in Microsoft Edge, deren Ausnutzung die Mitarbeit des Opfers erfordert, ist das leicht erkennbar:

User Interaction bei Remote Code Execution Schwachstellen. Daten vom 20.8.2019.

Der Access Vector von CVE-2019-1197 ist (AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H). Der Angreifer kann über ein bösartiges Java-Script auf einer Internetseite Zugriff auf den Computer des Opfers erhalten und dort beliebige Programme ausführen. Das Opfer muss dazu jedoch mitarbeiten (User Interaction: Required), etwa durch eine Phishing Email veranlasst werden mit Microsoft Edge die präparierte Internetseite zu besuchen.

Da Microsoft Edge im Sicherheitskontext des Opfers läuft, erlangt der Angreifer dessen Berechtigungen. Solange das Opfer also nicht mit permanenten administrativen Berechtigungen arbeitet, ist der Schaden begrenzt.

WannaCry dagegen benötigte keine Unterstützung durch den Anwender und erhielt automatisch die maximal möglichen Rechte, was zu den bekannten katastrophalen Auswirkungen führte.

Wie erfolgte die Erstinfektion?

Die Erstinfektion erfolgte mit großer Wahrscheinlichkeit über Systeme, die per SMB V1 Protokoll vom Internet erreichbar waren. Aktuell sind ca. 1 Mio. Windows Systeme direkt per SMB V1 Protokoll vom Internet erreichbar sind. Wir können davon ausgehen, dass am 12. Mai 2017 eine ähnliche Anzahl von noch nicht gepatchten Systemen vorhanden war.

Potenziell gefährdete Windows Systeme

Fazit

Es wird vermutet, dass WannaCry insgesamt über 330.000 Systeme befallen hat, darunter auch einen nennenswerten Teil in Produktions- und Automatisierungsanlagen. Die Tatsache, dass in den Anlagen viele Arbeitsstationen mit veralteten Software- und Patchständen eingesetzt werden und zudem häufig direkte Zugänge in die Produktionsnetze existieren (Fernwartungszugänge, Werk-Wlan, Kommunikation zur MES, etc.) haben sicherlich Ihren Teil dazu beigetragen. Erfahren Sie in den weiteren Teilen der Artikelserie, wie Sie Ihre Anlagen dennoch schützen können. Teil 2 beschreibt die Funktionsweise von WannaCry und mögliche Angriffsziele und Einfallstore von verwandter Schadsoftware in Produktionsanlagen.

 

Seien Sie sich bewusst, dass die Gefahr von WannaCry-Ablegern, welche auf der EternalBlue Schwachstelle basiert, noch weiterhin besteht und vielleicht auch in Ihrer Anlage noch ungepatche Windowssysteme zum Einsatz kommen. Prüfen Sie daher, welche Windowsserver und -Clients in Ihrem Automatisierungsnetz stehen und ob aus Ihrem Firmennetz heraus direkte Zugriffe über SMBv1 auf das Produktionsnetz stattfinden.