image

"Ruim 100.000 servers besmet met gelekte NSA-malware"

zaterdag 22 april 2017, 12:19 door Redactie, 28 reacties
Laatst bijgewerkt: 22-04-2017, 17:30

Wereldwijd zijn meer dan 100.000 servers besmet geraakt met de NSA-malware die onlangs door de hackergroep Shadow Brokers openbaar werd gemaakt, zo claimt het Zwitserse beveiligingsbedrijf BinaryEdge. Het gaat om de DoublePulsar-tool die op de servers werd aangetroffen.

De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. De nu geinfecteerde servers zijn waarschijnlijk door cybercriminelen gehackt via een lek in Windows SMB-server dat Microsoft in maart patchte. BinaryEdge meldt dat het de DoublePulsar-tool op 106.000 servers heeft aangetroffen. Een veel groter getal dan in eerste instantie rondging. Beveiligingsbedrijf Below0Day stelde op donderdag dat ruim 30.000 servers waren getroffen, waaronder 1300 Nederlandse servers.

Het Zwitserse beveiligingsbedrijf laat echter weten dat meerdere professionals naar het detectiescript hebben gekeken en stellen dat het naar behoren werkt. Onderzoeker Luke Jennings van beveiligingsbedrijf Countercept heeft een script geschreven waarmee kan worden gecontroleerd of een server met DoublePulsar is geïnfecteerd. Beheerders die Microsoft-update MS17-010 niet meteen na het uitkomen hebben geïnstalleerd om het SMB-lek te dichten krijgen alsnog het advies om hun server te controleren, aangezien de machine voor het installeren van de patch mogelijk is getroffen.

Reacties (28)
22-04-2017, 12:47 door Anoniem
En de U Naait Ons Steeds maar janken als het hun zelf overkomt.
22-04-2017, 12:57 door Ron625
Ook in 1300 Nederlandse servers?
Dan wordt het tijd, om de Ambassadeur op het matje te roepen en laten uitleggen, waarom dit gebeurt en hoe hij denkt, dat zijn werkgevers de schade en de boetes gaan betalen.
22-04-2017, 13:18 door [Account Verwijderd]
[Verwijderd]
22-04-2017, 13:35 door karma4
Je hebt de routers en de IOT (tv) ook nog. Wat ik me dan dan afvraag: waarom staat SMB open op publiek internet?
https://arstechnica.com/civis/viewtopic.php?f=15&t=1257257 Uitgangspunt voor security is alleen die zaken gebruiken die en veilig en nodig zijn voor het werk. Voor het gemak even thuis aan de slag is niet een geldig iets als is het kostenargument makkelijk te doen.
22-04-2017, 13:53 door Ron625 - Bijgewerkt: 22-04-2017, 13:56
Door Clarence322: wie moet je nu eigenlijk tot de orde roepen? De NSA die de tools heeft gemaakt, gebruikt én niet afdoende afgeschermd heeft gemaakt en gebruikt? Of ShadowBrokers die (onnadenkend?) de hele zwik online heeft gezet zonder eerst de softwaremakers te informeren?
De NSA natuurlijk, die hebben de troep gemaakt en geplaatst.
Het is m.i. ook nog een vorm van inbraak en/of computer-vrede-breuk.
De eind-verantwoordelijke is Trump, dus ..............

Zet ik een server online, laat hij inbreken, wanneer de Nederlandse overheid niet protesteert, mag ik dan het oog-om-oog/tand-om-tand systeem toepassen en proberen om Amerikaanse overheids-servers te hacken?
22-04-2017, 14:01 door W.T.
Ruim 100.000 servers besmet met gelekte NSA-malware?
Waarom krijg ik het idee dat dit slechts het begin is van heel veel ellende en dat de 100.000 servers slechts het topje van een in de verte naderende enorme ijsberg is.
22-04-2017, 14:32 door karma4
Door Ron625:De NSA natuurlijk, die hebben de troep gemaakt en geplaatst. ....
of de eigen managers die de machines open en bloot op internet gezet hebben omdat zoiets goedkoper en sneller is.
22-04-2017, 14:42 door Anoniem
@W.T.

Daar heb je gelijk aan, want wat er nu gezien is, is te wijten aan slordigheid van degenen die de malware plaatsten en niet goed opruimden na de daad.

Hoe veel is er besmet geraakt en/of nog niet ontdekt, omdat de instructies wel goed zijn opgevolgd.

Dan nog de halve wereld waar nog een ouder serverpark daarit, o.a. Windows server verouderde versies ergo blijvend kwetsbaar.

Ik vermoed dat M$ hand in voet werkt met de Amerikaanse diensten of dit haast wel zonder dat er ruchtbaarheid aan wordt gegeven zo moet zijn. Dat er een periode van werkbare backdoors steeds afgesloten wordt door een 'gedeeltelijke' patchronde voor oudere gaten, die dan steeds als verbetering aan de eindgebruikers van de huidige software wordt gepresenteerd.

Als je dit in het achterhoofd vast houdt samen met de bewust onveilig gelaten infrastructuur, kun je eigenlijk niet tot andere conclusies komen, dan dat we dus al jaren op een verschrikkelijke manier qua beveiliging goed worden 'gen@@id'.
Misschien wel door Microsoft en Google samen of in samenwerking met alle Amerikaanse giganten.
22-04-2017, 15:57 door Hansaplast
Door W.T.: Ruim 100.000 servers besmet met gelekte NSA-malware?
Waarom krijg ik het idee dat dit slechts het begin is van heel veel ellende en dat de 100.000 servers slechts het topje van een in de verte naderende enorme ijsberg is.

Kap die lijn bij Noordwijk gewoon door.
22-04-2017, 16:02 door Anoniem
Uitgebreide artiekel op Arstechnica, veel duidelijker.

>10,000 Windows computers may be infected by advanced NSA backdoor

https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/
22-04-2017, 16:46 door Ron625
Door karma4:
Door Ron625:De NSA natuurlijk, die hebben de troep gemaakt en geplaatst. ....
of de eigen managers die de machines open en bloot op internet gezet hebben omdat zoiets goedkoper en sneller is.
Wanneer ik mijn voordeur open laat staan, heb jij nog niet het recht, om naar binnen te gaan.
Sterker, eigenlijk zou een slot niet eens nodig horen te zijn.
Dat een beheerder deels verantwoordelijk is, ben ik met je eens, maar de inbreker is toch hoofd-verantwoordelijk voor zijn eigen daden.
22-04-2017, 17:13 door karma4
Door Ron625: [Wanneer ik mijn voordeur open laat staan, heb jij nog niet het recht, om naar binnen te gaan.
Sterker, eigenlijk zou een slot niet eens nodig horen te zijn.
Dat een beheerder deels verantwoordelijk is, ben ik met je eens, maar de inbreker is toch hoofd-verantwoordelijk voor zijn eigen daden.
Laat ik dat nu met je eens zijn. We hebben nu meerdere partijen in dit gebeuren.
- De eigenaar/verantwoordelijke voor de servers die de boel open heeft laten staan.
- Een (!@#$) partij als de NSA die het nodig vond om de open deuren te kunnen gebruiken
- Een (!@#$) partij als die shadow-brokers die het nodig vond om te wijzen hoe je die open deuren kan gebruiken
- De hacker die van alle bovenstaande onkunde gebruikt maakt om "in te sluipen" / "in te breken"
Sorry kan het verschil niet meer duiden tussen braak en insluiping.
Natuurlijk moet je die hacker zien beet te pakken.
Die twee andere partijen als de NSA en shadow-brokers op hun medeplichtigheid aan schade zien aan te spreken.
Die eigenaar van de servers aanspreken dat zij ook beter hun werk moeten doen.
Dan komt ook nog de leverancier dat die zijn best moet doen om de schade te minimaliseren en nieuwe gevallen zoveel mogelijk moet zien te voorkomen in kosten/baten risico overweging.

Lijkt me gesneden kost voor zowat elk product op de markt. Waarom dan niet bij Cyber producten.
22-04-2017, 18:47 door Anoniem
Bullshit...

De CIA heeft al die meuk ZELF op de servers gezet en gebruiken nu een patsy om hun hacking te verbloemen..
22-04-2017, 20:15 door karma4
Door Anoniem: Bullshit...

De CIA heeft al die meuk ZELF op de servers gezet en gebruiken nu een patsy om hun hacking te verbloemen..
Lijkt me leuk een gevecht tussen de cia en NSA. Vanaf welke rij gaan we toekijken.
22-04-2017, 22:04 door Anoniem
Door karma4:
Door Anoniem: Bullshit...

De CIA heeft al die meuk ZELF op de servers gezet en gebruiken nu een patsy om hun hacking te verbloemen..
Lijkt me leuk een gevecht tussen de cia en NSA. Vanaf welke rij gaan we toekijken.

Je vergeet het kratje bier en zakje chips
22-04-2017, 22:12 door W.T.
Binnenkort in alle kranten: " World Super Patch Day ".
Er zullen veel en vooral oudere beveiligingslekken gepatched moeten worden op zowel Microsoft, Apple als alle andere systemen.
22-04-2017, 22:31 door W.T.
REDMOND - Microsoft heeft de vrijdag door hackersgroep Shadow Brokers vrijgegeven kwetsbaarheden in Windows al gedicht. Dat schrijft het bedrijf na een eigen onderzoek. Alleen mensen die nog Windows XP of Windows Vista op hun pc hebben draaien, zijn mogelijk vatbaar voor aanvallen van buitenaf. Die versies worden door Microsoft namelijk niet meer ondersteund.

Negen van de twaalf kwetsbaarheden waren al eerder gedicht, waarvan drie door middel van een patch in maart. De drie overige kwetsbaarheden hebben nooit gewerkt op Windows 7 en nieuwere versies.

De Shadow Brokers maakten vrijdag van de Amerikaanse inlichtingendienst NSA buitgemaakte documenten wereldkundig. Daarin werd duidelijk dat de NSA kennis van kwetsbaarheden in Windows voor zich had gehouden en manieren had ontwikkeld om van die kwetsbaarheden gebruik te maken om computers aan te vallen. Ook zou de NSA het wereldwijde bankverkeer in de gaten hebben gehouden om zo zicht op geldstromen te kunnen houden.
22-04-2017, 22:35 door Joep Lunaar
Door W.T.: Ruim 100.000 servers besmet met gelekte NSA-malware?
Waarom krijg ik het idee dat dit slechts het begin is van heel veel ellende en dat de 100.000 servers slechts het topje van een in de verte naderende enorme ijsberg is.

Dat gevoel heb ik al sinds 2000 ... maar 't wordt nu toch wel erg actueel. Dat in de publieke sector het gebruik van het Windows platform te weinig kritisch wordt bekeken, maakt het echt eng.
22-04-2017, 23:03 door Anoniem
Door karma4: Je hebt de routers en de IOT (tv) ook nog. Wat ik me dan dan afvraag: waarom staat SMB open op publiek internet?
https://arstechnica.com/civis/viewtopic.php?f=15&t=1257257 Uitgangspunt voor security is alleen die zaken gebruiken die en veilig en nodig zijn voor het werk. Voor het gemak even thuis aan de slag is niet een geldig iets als is het kostenargument makkelijk te doen.
Misschien omdat ze op cliënt computers ook standaard open staan?...
Even een netstat -an doen. Port 445 aanwezig? Dan staat SMB bij je open.
23-04-2017, 01:48 door W.T.
Door Joep Lunaar:
Door W.T.: Ruim 100.000 servers besmet met gelekte NSA-malware?
Waarom krijg ik het idee dat dit slechts het begin is van heel veel ellende en dat de 100.000 servers slechts het topje van een in de verte naderende enorme ijsberg is.

Dat gevoel heb ik al sinds 2000 ... maar 't wordt nu toch wel erg actueel. Dat in de publieke sector het gebruik van het Windows platform te weinig kritisch wordt bekeken, maakt het echt eng.

Ik zal het je nog sterker vertellen. Bij het begin van de oprichting van Microsoft was er sprake van een 3 mans clubje, waar ook Bill in zat. Wat er tijdens de ontwikkeling van de software gebeurde was dat er ruzie ontstond betreffende de privacy. Het liep zo hoog op dat de inmiddels opgebouwde organisatie uit elkaar spatte op bestuursniveau. Het gevolg was dat 1 van de 3, zijn naam ben ik kwijt, op eigen initiatief privacy software heeft ontwikkeld genaamd Evidence Eliminator. Het programma werkt op alle Windows versies t/m 7.

De oorzaak van de ontwikkeling van het programma E.E. is dat Microsoft tot in het DOS-deel privacy issues kan binnen harken.

En nou ga ik plat.
23-04-2017, 07:27 door karma4
Door W.T.: Ik zal het je nog sterker vertellen. Bij het begin van de oprichting van Microsoft was er sprake van een 3 mans clubje, waar ook Bill in zat. ....
Dat is zo ongeveer het enige wat klopt van je beweringen. De tijdlijn van DOS IBM CP/M DR Micorosof https://en.wikipedia.org/wiki/Timeline_of_DOS_operating_systems Met deze hardware https://en.wikipedia.org/wiki/IBM_Personal_Computer als de basis. Een Tandy n Commodore waren andere opties.
Het waren als persoonlijke gadgets bedoelde machines geen connecties met wat dan ook.

Privacy daar had niemand het over in de ICT wereld, men was al lang blij is er iets werkte. Hacken betekende dan ook dat je iets werkend gekregen had op onvermoede manier. Ponskaarten tapes, daar kon een buitenstaander weinig mee, de hardware had je niet. Markt verwachtingen https://www.cnet.com/news/william-lowe-the-father-of-the-ibm-pc-dies-at-72/ 220.000 stuks als projectplan. Dat is een speeltje voor de CEO 's niet als massa consumenten product.
Het internet kwam pas 20 jaar later.

Wat schokkend geweest in die ontwikkeling is de mismatch tussen de ICT en analisten de big data. https://en.wikipedia.org/wiki/Lotus_1-2-3 DB3 wordperfect. Eindelijk goedkope tools die het werk kunnen doen zonder die lastige ICT mensen die niets op tijd leveren, niet luisteren wat nodig is en te duur zijn. Met een afdeling KA en een paar man zijn we klaar. ICT probleem opgelost vervang alle terminals door pc's. Privacy etc nooit van gehoord machines staan op bureau's in het kantoor wat kan er nu mis gaan?

Intussen zijn we 30 jaar na de pc introductie 50 jaar algemeen (S360 tijd) met automatisering bezig. Noem het ICT.
Zijn we nog steeds: "lastige ICT mensen die niets op tijd leveren, niet luisteren wat nodig is en te duur zijn"
Vervolgens komen die lastig ICT mensen niet verder dan dat hun OS/gadget alles gaat oplossen of dat het aan dat OS ligt.

Door Joep Lunaar: ... Dat in de publieke sector het gebruik van het Windows platform te weinig kritisch wordt bekeken, maakt het echt eng.
Ligt niet aan Windows. Geen enkel ICT benadering wordt kritisch bekeken.
Als je bij de grotere organisaties publieke sector kijkt is het nu net Windows waar wel wat meer serieus naar gekeken wordt. Op servers en ander zaken in het echt kritische deel wordt het zo naar de externe leverancier geduwd. Elke kritiek wordt als problematisch gezien, veel geld betaald en de leverancier zal het toch wel weten.

Je moet even verder kijken. Het lijkt voor de gebruiker soms of het op die desktop allemaal gebeurt. In werkelijkheid zijn het dan server based processen.
23-04-2017, 15:18 door Anoniem
@karma4,

En daarom hebben we de tragisch onveilige infrastructuur, die we hebben.

Doe maar eens een Asafaweb scan voor een gemiddelde site waar een ASP.NET server op draait (ongeveer gelijk aan het merendeel van de Chinese mono-culturur) en kijk naar de http-only cookie en secure-cookie en clickjacking waarschuwingen en de excessieve server info proliferatie waarschuwingen.

Doe vervolgens een dazzlepod scannetje, shodan.io scannetje en ga eens kijken met de DOM-XSS scanner en je komt al heel wat onveiligheid in code op het spoor.

Betreft het jQuery, dan naar http://retire.insecurity.today/# & voor SRI-hash issues (same origin) naar sritest.io
Cookie scannetje erover heen: https://webcookies.org/ en een crypto-rapportje: cryptoreport.websecurity.symantec.com
Cobineer met deze scan, een voorbeeld hier: https://urlscan.io/result/9b551498-6146-488e-b347-8d2b667c4846#summary

Bekijken met mxtoolbox.com/domain/apps.digsigtrust.com/ en gecombineerde scans met https://observatory.mozilla.org/

Kijk eens hoe veel Mikrotik servers lek zijn in het rijk van Ivan en Baba Yaga. Hoeveel counter malware er op gegooid zit.,

Voor een eerste blik op WP: hackertarget.com/wordpress-security-scan/ en de Joomla variant daar. Of voor Magento webshops bezoek: https://www.magereport.com/

Vind je code, kijk eens naar errors met jsunpak en ga te rade bij Stack Overflow voor de issues.
Combineer en deduceer en hou je ervaringen bij en ik garandeer je dat je geen hoge pet meer op hebt betreffende de algehele stand van het algemene beveiligingsniveau van websites op deze aardkloot.

Jammer datr ik dat gevoel van inherente onveiligheid, dat een ieder elk moment parten kan spelen, niet met meer hier kan delen.

Scannen met alles behalve de gootsteen helpt ook niet. We zullen echt met z'n allen aan de slag moeten met updaten en patchen, met onveilige bibliotheken laten vallen, met security headers implementeren, met certificaten juist en op sterkte configureren, met vaststellen of de cloud e2e veilig is. Om overheids- en zakelijke tracking te monitoren. Om te blokkeren, wat blokkering verdient, met het minder luid maken van servers. En vul de hele waslijst maar aan tegen CloudBleed en Poodle en... en...en tenslotte het opvoeden van luitjes die nergens verstand van hebben, het grootste obstakel!
Voorwaar een schon taak wacht ons hier,

luntrus
23-04-2017, 15:58 door Sokolum
En ondertussen is CIA bezig met het voorbereiden van een aanklacht tegen WikiLeaks.... hard bezig om hun eigen werk te verbloemen en de schuld van hun af te schuiven... zo triest allemaal.
23-04-2017, 16:04 door Sokolum
Door Anoniem: Bullshit...

De CIA heeft al die meuk ZELF op de servers gezet en gebruiken nu een patsy om hun hacking te verbloemen..

Dat is Assange van WikiLeaks, niemand anders. Maar goed CIA is niet vies van smerig werk.

WTF, we moeten ophouden met het benoemen van CIA en NSA, het is -USA- die dit doet. Het zijn toch geen rechtsstaten in een staat, of wel soms?
23-04-2017, 16:40 door karma4
Door Anoniem: @karma4,
En daarom hebben we de tragisch onveilige infrastructuur, die we hebben.
...
...en tenslotte het opvoeden van luitjes die nergens verstand van hebben, het grootste obstakel!
Voorwaar een schon taak wacht ons hier,
luntrus
Dank je, Ik geloof de rest van wat je wilt aanduiden met alle details zonder meer. Het is een gewoon oorzaak en gevolg.
Blijft de intro en afsluiting als kernachtige samenvatting over.
24-04-2017, 10:42 door Anoniem
Genisys system is closer than you think... ;)
24-04-2017, 22:25 door Anoniem
@Anoniem van 10:24

Genesis van Symantec!?!

En dan wordt het er ook al niet veiliger op en is het via de cloud ook nog eens "out of your hands".
Robotachtige bewaking maar zonder oog voor de noodzakelijke beveiliging geimplementeerd,
dan immers nog: flut met peren!

Zie hier wat onveiligheid op een willekeurig GENESIS systeem binnen ons NATO gebied.
Neen, ik noem geen name of IP. Wat issues, die ik zo via een 3rd party openbare public search engine zie.

Overview
By default, excessive information about the server and frameworks used by an ASP.NET application are returned in the response headers. These headers can be used to help identify security flaws which may exist as a result of the choice of technology exposed in these headers.

Result
The address you entered is unnecessarily exposing the following response headers which divulge its choice of web platform:

Server: nginx/1.6.2
Cookies not flagged as "HttpOnly" may be read by client side script and are at risk of being interpreted by a cross site scripting (XSS) attack. Whilst there are times where a cookie set by the server may be legitimately read by client script, most times the "HttpOnly" flag is missing it is due to oversight rather than by design.

Result

Warning:
It looks like a cookie is being set without the "HttpOnly" flag being set (name : value):

PHPSESSID : e9b86159484d9535939141b593f7b064
Unless the cookie legitimately needs to be read by JavaScript on the client, the "HttpOnly" flag should always be set to ensure it cannot be read by the client and used in an XSS attack.

Result
It doesn't look like an X-Frame-Options header was returned from the server which means that this website could be at risk of a clickjacking attack. Add a header to explicitly describe the acceptable framing practices (if any) for this site.


Detected libraries:
jquery - 1.7.1 : (active1) address/assets/js/jquery-1.7.1.min.js
Info: Severity: medium
http://bugs.jquery.com/ticket/11290
http://research.insecurelabs.org/jquery/test/
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code
1 vulnerable library detected

DOM XSS: Results from scanning URL: XXXXXXX/assets/js/home_js.js (cm.write kwetsbaar?)
Number of sources found: 38
Number of sinks found: 21

Het blijft mensenwerk en coderen zonder oog voor veiligheidseisen gaat ons nog eens geweldig opbreken.
Wat ik je brom.

luntrus
26-04-2017, 08:48 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.