De aanvaller die afgelopen december systemen van de Universiteit Maastricht met ransomware wist te infecteren kon zich onder andere door het netwerk bewegen omdat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daardoor waren ze kwetsbaar voor een door de Amerikaanse geheime dienst NSA ontwikkelde exploit. Dat blijkt uit het onderzoeksrapport naar de aanval dat door securitybedrijf Fox-IT is opgesteld (pdf).
Gisteren gaf de universiteit al een presentatie over de aanval. In het onderzoeksrapport zijn meer details te vinden. Zo blijkt dat de aanvaller hetzelfde draaiboek volgde dat ook bij tal van andere ransomware-aanvallen is waargenomen. De aanval begon met verschillende e-mails die naar een kwaadaardig Excel-document wezen. De eerste e-mail die op 15 oktober werd verstuurd had als onderwerp "Documents" en de tekst "As discussed, please see attached a copy of your documents, please can you sign and scan these back to me as soon as possible Download form Microsoft OneDrive", gevolgd door de link.
Uit het vrijgegeven screenshot blijkt dat de universiteitsmedewerker die de e-mail ontving nog een antwoord naar de aanvaller heeft teruggestuurd. Tevens heeft de medewerker het Excel-document geopend. Het document was voorzien van een kwaadaardige macro die malware op het systeem installeerde. Microsoft Office blokkeert standaard macro's. In het geval van een document met macro's krijgen gebruikers de vraag of ze macro's willen inschakelen. Organisaties kunnen een Group Policy doorvoeren die ervoor zorgt dat macro's standaard worden ingeschakeld of geblokkeerd.
De aanvaller verstuurde op 16 oktober naar zes andere e-mailadressen een tweede aanvalsmail met het onderwerp "CL meeting schedule.xls" en de tekst "Hi, Thank you for offering to find rooms for me for this schedule. I can eventually attached It!", gevolgd door een link naar een Excel-document met opnieuw een kwaadaardige macro. Wederom werd de macro ingeschakeld waardoor het virtuele werkstation van de medewerker besmet raakte.
Een dag later compromitteert de aanvaller twee servers. Die draaien op Server 2003 R2, waarvan Microsoft op 14 juli 2015 de ondersteuning stopte. Het platform ontvangt geen beveiligingsupdates meer. Daar komt op 12 mei 2017 verandering in. Vanwege de uitbraak van de WannaCry-ransomware brengt Microsoft een noodpatch voor Windows Server 2003 R2 uit. WannaCry maakt gebruik van een beveiligingslek dat door de NSA is ontdekt. De Amerikaanse geheime dienst ontwikkelt een exploit genaamd EternalBlue waarmee kwetsbare systemen zijn aan te vallen. De exploit belandt echter op internet en cybercriminelen gebruiken die om systemen mee aan te vallen.
Ondanks de beschikbaarheid van deze zeer belangrijke beveiligingsupdate wordt die niet door de universiteit geïnstalleerd en maakt de aanvaller hier misbruik van. "Tijdens het onderzoek is duidelijk geworden dat de aanvaller zich onder andere lateraal door het netwerk heeft kunnen bewegen door het gebruiken van de zogenaamde EternalBlue-exploit", aldus Fox-IT. Met de EternalBlue-exploit kan een aanvaller vanaf een ander systeem in het netwerk toegang krijgen tot het aangevallen systeem en malware uitvoeren met het lokale SYSTEM-account
Uiteindelijk weet de aanvaller meer servers te compromitteren en brengt de Active Directory-structuur van het universiteitsnetwerk in kaart. Op 21 november lukt het de aanvaller om domeinbeheerderrechten te verkrijgen. In strijd met het beleid maken systeembeheerders van de universiteit gebruik van het domeinbeheerderaccount voor het uitvoeren van onderhoudswerkzaamheden. Hierdoor was het wachtwoord mogelijk aanwezig in het geheugen van een gecompromitteerd systeem dat door de aanvaller kon worden uitgelezen. Zo is de tool Mimikatz aangetroffen die hiervoor kan worden gebruikt.
Op 23 december rolt de aanvaller, die dan al twee maanden onopgemerkt in het netwerk zit, de ransomware uit. 267 servers raken besmet. Onder de getroffen systemen bevinden zich zeer kritieke systemen voor de bedrijfsvoering van de universiteit, zoals de domaincontrollers, Exchange-servers, bestandsservers met onderzoek- en bedrijfsvoeringsgegevens en een aantal van de back-upservers.
Om herhaling te voorkomen krijgt de universiteit in het rapport verschillende adviezen aangereikt, zoals het inzetten op het verhogen van de awareness van medewerkers, geen werkzaamheden met domeinbeheerderaccounts uit te voeren, het gebruik van (ongetekende) macro's te blokkeren, het gebruik van de Beschermde gebruikersgroep binnen de Active Directory en het tijdig installeren van beveiligingsupdates.
Fox-IT laat aan Security.NL weten dat in het geval van de Universiteit Maastricht macro's door de gebruiker moesten worden geactiveerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.