Windows-gevaar van Eternal Blue na 2 jaar nog steeds groot

Nederland bekleedt de achtste positie in de wereldranglijst van landen die nog de kwetsbare SMB-versie mét openstaande poort 445 gebruiken. Dit blijkt uit een scan die in mei dit jaar is uitgevoerd door securityleverancier Eset. Daarvoor is de gespecialiseerde security-zoekmachine Shodan benut.

Hele gemeente gegijzeld

Over het Nederlandse SMBv1-gebruik, de recente ransomware-infectie bij de Amerikaanse stad Baltimore en de dreiging voor Europa en Nederland heeft Kamerlid Kees Verhoeven kritische Kamervragen gesteld. De gemeente Baltimore is deels lamgelegd doordat systemen zijn gegijzeld, waarbij de Eternal Blue-exploit zou zijn gebruikt. Terwijl de Kamervragen gericht zijn aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is het de minister van Justitie en Veiligheid die antwoord geeft.

“Aanvallen als deze zijn zeer onwenselijk en het is uitermate vervelend dat burgers (tijdelijk) niet kunnen beschikken over overheidsdiensten waar ze normaal gesproken op moeten kunnen vertrouwen”, stelt minister Ferd Grapperhaus. “De lokale overheid van Baltimore heeft gemeld dat alle diensten bereikbaar en leverbaar zijn, zij het soms via alternatieven als tijdelijke mailadressen.”

Gevaar voor Nederland

Het is niet bekend hoeveel kosten het Amerikaanse stadsbestuur moet maken voor uitwijkmogelijkheden, dataherstelwerkzaamheden en desinfectiewerk aan gegijzelde systemen. Voor gemeenten, maar ook andere organisaties en bedrijven wereldwijd dreigt hetzelfde gevaar, ook nu twee jaar na het openbare opduiken van deze hackmogelijkheid die is ontwikkeld door de Amerikaanse inlichtingendienst NSA.

Het relatief forse gebruik in Nederland van SMBv1 met openstaande poort baart zorgen, erkent de minister. “Uiteraard is het zorgelijk dat wordt gesignaleerd dat machines in Nederland mogelijk nog steeds kwetsbaar zijn voor misbruik doordat updates niet zijn gedraaid”, geeft de Nederlandse minister aan. Hij relativeert dit patchgebrek echter door te wijzen op het verband met de hoge mate van digitale connectiviteit in ons land. “Nederland is immers één van de meest gedigitaliseerde landen ter wereld.”

Patchbelang

Deze relatie moet echter geen excuus zijn voor achterlopend patchbeleid of slechte beveiliging qua beperkende maatregelen. “Ondanks deze wetenschap is het belangrijk ervoor te zorgen dat machines in Nederland weerbaar zijn. Het NCSC [Nationaal Cyber Security Center - red.] adviseert met het oog hierop, net als bij alle andere bekende kwetsbaarheden, om systemen tijdig en volledig te updaten met de meest recente beveiligingsupdates of alternatieve mitigerende maatregelen te treffen.”

Het NCSC, wat valt onder het ministerie van Justitie en Veiligheid, publiceert beveilgingsadviezen daarover. Grapperhaus verwijst in zijn antwoorden op de Kamervragen daar ook naar, maar momenteel geeft de website van het NCSC echter 404-foutmeldingen voor specifieke securitybulletins. Daaronder ook die over de Eternal Blue-exploit en Microsofts patch voor de SMB-kwetsbaarheid in Windows.

‘Nog steeds van kracht’

De kans op misbruik van het SMB-gat is dankzij het uitlekken van de Eternal Blue-exploitcode groot, al sinds begin 2017. “Het NCSC blijft de ontwikkelingen nauwlettend volgen en indien er reden toe is zal het beveiligingsadvies worden aangepast. Op dit moment is daar echter geen aanleiding voor.” Het gevaar van dit Windows-beveiliginggat is in juli 2019 dus onverminderd groot.

Grapperhaus stelt dat het kabinet er alles aan doet om te voorkomen dat een situatie zoals die in Baltimore zich voordoet in Nederland. “In geval van een kwetsbaarheid met een hoge kans op misbruik en hoge vervolgschade neemt het NCSC actief contact op met organisaties in haar doelgroep (Rijksoverheid, vitale bedrijven), met het advies direct actie te ondernemen. Het beveiligingsadvies van het NCSC omtrent deze kwetsbaarheid en de daarmee samengaande maatregelen zijn nog steeds van kracht.”

Voor organisaties die buiten bovengenoemd ‘bereik’ vallen, heeft de Nederlandse overheid vorig jaar het Digital Trust Center (DTC) opgericht. “Het NCSC en het DTC werken samen om beveiligingsadviezen zo breed mogelijk te delen”, laat minister Grapperhaus weten. Organisaties dragen hierbij echter zelf verantwoordelijkheid, vervolgt de bewindsman.

Zelfredzaamheid

“Het uitgangspunt daarbij is dat organisaties binnen genoemde doelgroepen zelf het best in staat zijn om vanuit hun eigen verantwoordelijkheid en inzicht in de bedrijfsprocessen, te bepalen hoe zij patchmanagement voor hun organisatie hebben georganiseerd. Uitstel of afstel van updates en het nemen van alternatieve mitigerende maatregelen kan voor een organisatie soms een keuze zijn in verband met de continuïteit van processen.”

Zo’n keuze kan een hoge prijs hebben, erkent de minister. “Wanneer het echter mis gaat kan het wel grote gevolgen hebben. Daarom wordt bijvoorbeeld op de website van het NCSC ook informatie gedeeld over het inrichten van patchmanagement om organisaties daarbij te helpen.” Zo biedt het NCSC ICT-beveiligingsrichtlijnen voor software, ook apart voor webapplicaties en mobiele apps. Ook het Digital Trust Center vervult een informerende rol, naar het niet-vitale bedrijfsleven toe.