Podczas ataków WannaCry na początku tego miesiąca, wiele podmiotów wskazywało na to, że organizacje wciąż używające systemu Windows XP nie są dostatecznie chronione. W tej chwili wiemy już, że system XP nie był najbardziej podatny na zainfekowanie. Najwięcej zaatakowanych komputerów posiadało system Windows 7.

Używanie niewspieranego już przez Microsoft systemu Windows XP nie jest dobrym pomysłem. System ten wielokrotnie padał ofiarą skutecznych ataków. Nowsze wersje oprogramowania Windows są znacznie lepiej zabezpieczone. Stawianie jednak tezy, że Windows XP był głównym winowajcą rozprzestrzeniania się WannaCry, nie pozwoliło specjalistom do spraw bezpieczeństwa przyjrzeć się dokładniej innym istotnym aspektom ataku.

SophosLab – jednostka badawcza firmy Sophos, nadal sprawdza, dlaczego WannaCry nie udało się zainfekować systemu XP równie efektywnie jak Windows 7. Nie wiadomo czy uda się stwierdzić, czy było to zamierzone działanie hackerów, czy był to przypadkowy błąd kodu ransomware i czy wszystkie informacje na temat ataku zostaną wyjaśnione. SophosLabs zdefiniował jednak pewne cechy WannaCry, które pomogą zapobiegać podobnym atakom w przyszłości.

Niezależnie od większej podatności Windows 7 na atak, istotne są pewne fakty:

  • Komputery z systemem Windows 7 zostały zainfekowane, ponieważ nie były zaktualizowane w stosunku do luki w zabezpieczeniach systemu Windows SMB, którą WannaCry wykorzystał.
  • Podobnie jak niezliczone wcześniejsze ataki, WannaCry nie miał problemów z rozprzestrzenianiem, ponieważ dziurawe systemy miały otwarty na zewnątrz port 445.

Systemy nadal posiadają dziury w swoich zabezpieczeniach

WannaCry rozprzestrzenił się z powodu usterki w usłudze „Blokowanie wiadomości” w systemie Windows Server (SMB), którą komputery z systemem Windows wykorzystują do udostępniania plików i drukarek w sieciach lokalnych. Jest to stary rodzaj luki w zabezpieczeniach, który wcześniej umożliwił infekcję komputerów na całym świecie takim robakom jak Slammer i Conficker ponad dziesięć lat temu!

Firma Microsoft wskazała ten problem w biuletynie MS17-010 w marcu. Firmy korzystające ze starszych, nieobsługiwanych wersji systemu operacyjnego nie zobaczyły jednak tego komunikatu, jeśli nie miały podpisanej specjalnej umowy dla niestandardowych usług, tj. specjalnego rozszerzonego – i płatnego – wsparcia systemu.

Microsoft zaczął stopniowo wycofywać się z systemu Windows 7, ale nadal oferuje ograniczone opcje wsparcia dla klientów biznesowych. System Windows 7 z dodatkiem Service Pack 1 wygaśnie w ciągu dwóch i pół roku – 14 stycznia 2020 roku. Pomimo tego, że system Windows 7 pozostaje w dużym stopniu wykorzystywany przez firmy, okazało się, że nie jest wystarczająco często aktualizowany, a luki w zabezpieczeniach nie są odpowiednio łatane.

Niezaktualizowany Windows 7 + port 445 = kłopoty

Podczas swojego śledztwa firma SophosLabs potwierdziła, że najbardziej narażone na ataki WannaCry były niełatane wersje SMB w systemie Windows 7.

Jeśli firma nie aktualizuje swoich systemów i pozostawia porty 445 w komputerach otwarte w sieciach publicznych, a nawet w wewnętrznych, musi brać pod uwagę, że sama wystawia się na ryzyko. W takich przypadkach, gdy jedno z urządzeń zostanie zainfekowane, atak błyskawicznie rozprzestrzenia się w całej sieci wewnętrznej.

Czy wina jest po stronie sterowników SMB?

We wczesnej fazie rozprzestrzeniania WannaCry naukowcy stwierdzili, że podczas ataku użyto pakietów SMBv1 i SMBv2. Ponieważ oba wersje SMB były w użyciu, można przypuszczać, że system Windows XP okazał się być trudny do zarażenia, ponieważ nie zawiera SMBv2, który został wprowadzony dopiero w systemie Windows Vista.

Do tej pory ten wniosek nie został jednak potwierdzony.

XP był słabym przewodnikiem dla WannaCry

Mimo, że brak aktualizacji i otwieranie portów 445 na zewnątrz są problemami łatwymi do zidentyfikowania, powody, dla których Windows 7 był podatniejszy na atak niż XP, nadal pozostają niejasne.

Podczas swoich testów SophosLabs stwierdził, że XP nie był skutecznym źródłem infekcji dzięki wykorzystaniu EternalBlue SMB, podczas gdy system Windows 7 był łatwy do zainfekowania. Badania wykazały, że ransomware WannaCry może mieć wpływ na komputery z XP – jednak nie za pośrednictwem SMB worm mechanism, który był głównym kanałem rozprzestrzeniania WannaCry.

Różne firmy zajmujące się bezpieczeństwem doszły do podobnych wniosków zakładając, że wśród wszystkich zarażonych przez WannaCry komputerów, które posiadały system Windows 7 procentowo zostało zainfekowanych od 65% do 95% tych maszyn. Analiza danych z punktów końcowych przeprowadzona przez SophosLabs przez trzy dni po ataku wskazuje, że nawet 98% komputerów z Windows 7 zostało zainfekowanych.

Tak wysoki procent infekcji komputerów z Windows 7, wydaje się zaskakujący, ponieważ większość materiałów na temat ataku wskazywała niewspierany przez Microsoft Windows XP jako winny rozprzestrzenianiu się WannaCry. Firma Microsoft podjęła nawet niezwykły krok – zapewniła wszystkim użytkownikom Windows XP aktualizację zabezpieczeń.

Niewielka liczba komputerów z systemem XP, które zgłosiły przypadki wykrycia WannaCry, były prawdopodobnie komputerami testowymi lub komputerami zainfekowanymi przez inny wektor.

Jakie są wnioski na przyszłość?

W przypadku organizacji wciąż działających w systemie Windows 7 i innych wersjach systemu operacyjnego ostatnie wydarzenia wskazują, że organizacje muszą dokładnie śledzić aktualizacje systemów i natychmiast wdrażać poprawki. Ale powolne implementowanie poprawek lub użycie przestarzałych wersji systemu Windows nie zawsze wynika z lenistwa.

Niektóre organizacje nadal używają starych wersji systemu Windows, ponieważ:

  • Brakuje im środków finansowych i zasobów ludzkich do przeprowadzenia modernizacji.
  • Ich dotychczasowe urządzenia nie są wystarczająco nowoczesne, by działać z systemami takimi jak Windows 10.

Istnieją również inne powody, ale dwa powyższe stanowią zazwyczaj największe wyzwania.

Joe Levy, CTO w Sophos stwierdził wkrótce po wybuchu epidemii WannaCry, że istnieje wiele przypadków, w których aktualizacja nie powinna być postrzegana jako opcjonalna, bez względu na to, jaka jest polityka firmy w tym zakresie.

Jak chronić się przed podobnymi atakami?

Jeśli firma używa starszych wersji systemu Windows, istnieje większe ryzyko infekcji w przypadku ataków takich jak WannaCry. Najlepszą radą jaką można dać organizacjom, które nie są w stanie zainstalować nowszych systemów Windows na swoich urządzeniach jest to by jak najczęściej pobierały wszelkie pojawiające się aktualizacje dla swoich systemów oraz w przypadku systemów już nie wspieranych by, podpisały umowy w ramach niestandardowej pomocy firmy Microsoft, aby nadal otrzymywać aktualizacje zabezpieczeń.

Co ważniejsze, organizacje muszą też ustawić zapory, aby zablokować dostęp do portów 445.

Więcej o zabezpieczeniach przeciw ransomware i ataku WannaCry na blogu Sophos:
www.nakedsecurity.sophos.com

Kan