Beheer

Security
sscan

Kwetsbaarhedenscan als antwoord op gevaar als Eternal Blue

Overheid moet meer doen tegen exploitgevaar zoals van 2 jaar oud Eternal Blue.

© CC0,  Clker-Free-Vector-Images
19 juli 2019

Overheid moet meer doen tegen exploitgevaar zoals van 2 jaar oud Eternal Blue.

De Nederlandse overheid kan meer doen tegen dreigingen zoals van de NSA-exploit Eternal Blue, die twee jaar na ‘release’ nog altijd gevaarlijk wordt geacht. De antwoorden op Kamervragen geven vragensteller Kees Verhoeven nog geen geruststelling, vertelt hij aan AG Connect. De politicus hamert op het scannen van de hele vitale infrastructuur op kwetsbaarheden, in het algemeen.

Minister Ferd Grapperhaus van Justitie en Veiligheid geeft in zijn antwoorden op de Kamervragen aan dat de begin 2017 verschenen kant-en-klare exploit Eternal Blue nu in juli 2019 nog altijd een gevaar vormt. Ook voor overheidsinstanties, organisaties en bedrijven in Nederland. Het waarschuwende beveiligingsadvies van het NCSC is nog van kracht.

Alles?

“Indien er reden toe is zal het beveiligingsadvies worden aangepast. Op dit moment is daar echter geen aanleiding voor”, aldus Grapperhaus in zijn beantwoording. Daarbij stelt de bewindsman dat het kabinet er alles aan doet om te voorkomen dat in Nederland een situatie optreedt zoals die in de Amerikaanse stad Baltimore. Daar zijn gemeentesystemen vergrendeld en gegijzeld door afpersers.

Verhoeven plaatst echter kanttekeningen bij de stelling dat het kabinet er “alles aan doet”. Over de door gegeven Grapperhaus opsomming van tegenmaatregelen, initiatieven en mogelijkheden is het D66-Kamerlid kort: “Dat zijn allemaal dingen die we al doen”. De overheid kan echter méér doen. Zoals het actief stimuleren van patchbeleid, maar ook het zelf scannen op kwetsbaarheden in de vitale infrastructuur.

Patchproblemen

Het doorvoeren van patches is in complexe omgevingen zeker niet gemakkelijk, en soms zelfs niet mogelijk. Toch is het zorgelijk dat de kwetsbaarheid waar Eternal Blue gebruik van maakt nog in flinke aantallen aanwezig is in systemen, ook in Nederland. Microsoft heeft begin 2017 een patch uitgebracht voor die kwetsbaarheid. Daarbij is die update voor Windows’ SMB-implementatie zelfs uitgekomen een maand vóór de release van de informatie en exploitcode voor deze bewuste kwetsbaarheid.

Dit ‘preventieve’ patchen was mogelijk doordat Eternal Blue, samen met een pakket aan andere Windows-exploits, was gestolen bij de Amerikaanse inlichtingendienst NSA en door de hackersgroep Shadow Brokers vrijgegeven ging worden. De NSA is gewapend met die kennis naar Microsoft gegaan om de Windows-producent te informeren over de kwetsbaarheid die de inlichtingendienst zelf jaren eerder had ontdekt. Het SMB-gat is al die tijd stilgehouden omdat de NSA het met zijn exploit kon benutten voor eigen hackwerk.

Miljoenenschade, gevaar niet weg

Sinds het uitkomen van een patch tegen en vervolgens publieke exploitcode voor de grote kwetsbaarheid in Windows zijn er diverse grote malwaregevallen gekomen die dankbaar gebruik hebben gemaakt van de krachtige Eternal Blue-exploit. Daaronder ook de internationaal toeslaande WannaCry-ransomware en de NotPetya-cyberaanval die wereldwijd voor miljoenen aan schade hebben aangericht.

Dat gevaar is nu in juli 2019 niet geweken, aldus de Nederlandse minister van Justitie en Veiligheid. “De overheid zou extra stappen kunnen nemen om patchbeleid te verbeteren”, reageert Kamerlid Kees Verhoeven nu op de antwoorden op zijn Kamervragen.  Hij geeft aan dat dát de volgende grote trend is in cybersecurity. “Soms zijn het 0-days, maar vaak kwetsbaarheden waar allang patches voor zijn.”

Wéten wat kwetsbaar is

Patchen moet hogere prioriteit krijgen dan het nu heeft, bepleit Verhoeven. Naast beter patchen kan ook het afdekken van kwetsbare software, services en componenten helpen. Dit is ook van toepassing wanneer patchen niet tijd of geheel niet kan. Daarvoor moet dan wel bekend zijn dat die gaten er zíjn.

Verhoeven hamert erop dat de overheid de hele vitale infrastructuur zou moeten scannen op kwetsbaarheden. En dan niet alleen op die voor het nu nog steeds gevaarlijke geachte Eternal Blue. Kwetsbaarheden in het algemeen, benadrukt het D66-Kamerlid. Hij heeft samen met VVD-Kamerlid Antoinette Laan-Geselschap eind vorige maand een motie hiertoe ingediend: voor het scannen van overheidssystemen op kwetsbaarheden.

“En die motie is aangenomen”, wat begin deze maand is gebeurd. Het uitvoeren van zo’n scan heeft wel wat voeten in de aarde. “Daar moeten we nu stappen voor zetten.” Wanneer een eerste scan kan worden uitgevoerd, is vooralsnog niet duidelijk.

Naast SMB ook RDP

Zo’n securityscan zal geen overbodige luxe zijn, gezien de haast constant lijkende stroom van verse kwetsbaarheden. Sommige daarvan zijn ernstig, andere zijn nog ernstiger. Een voorbeeld van laatstgenoemde is de grote kwetsbaarheid in toegangsprotocol RDP: BlueKeep.

Kwaadwillenden kunnen daarlangs op afstand diepgaande toegang tot kwetsbare Windows-systemen verkrijgen. Het gevaar hiervan is dermate groot dat Microsoft zelfs patches voor de niet langer ondersteunde Windows-versies XP en Server 2003 heeft uitgebracht. Hetzelfde is begin 2017 trouwens gedaan tegen het toen-nieuwe gevaar van Eternal Blue.

Moeilijke vragen

En terwijl de NSA over die gestolen exploit toen nogal stil was, uit de inlichtingendienst van de Verenigde Staten zich over het RDP-gat: daar geeft het een openlijke waarschuwing voor. Patchen luidt het advies. Of anders dus af zien te dekken. Voor beide is kennis nodig van gebruikte systemen, versies en patchlevels. Waar draait wat, en vanaf waar is het benaderbaar? “Dit zijn niet de makkelijkste vragen, maar ze moeten wel gesteld worden.”

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.