Af Torben B. Sørensen, 21/04/17
Hvis målet for angrebet ikke er opdateret siden februar, kan der blive installeret en bagdør på computeren.
Sårbarheden ligger i behandlingen af protokollen SMB (Server Message Block), som bruges til fil- og printdeling i Windows. Microsoft lukkede hullet med rettelsen beskrevet i sikkerhedsbulletin MS17-010.
For en uge siden lækkede hackergruppen Shadow Brokers, der menes at være tilknyttet en russisk efterretningstjeneste, en række værktøjer fra hackergruppen Equation Group, der menes at have tilknytning til USA's NSA (National Security Agency).
Blandt værktøjerne er programmet Eternalblue, der udnytter SMB-sårbarheden fra Windows XP til Server 2008 R2.
Hvis programmet finder en sårbar computer, inficerer det den med et andet værktøj, Doublepulsar. Det er en bagdør, som bagmændene kan udnytte til at køre programkode på pc'en.
Sikkerhedsforsker Dan Tentler oplyser til The Register, at han ser et stigende antal computere, der viser tegn på at være inficeret med Doublepulsar.
I går identificerede han 15.196 computere inficeret med Doublepulsar. Han brugte en søgning på tjenesten Shodan til at finde dem.
En anden sikkerhedsforsker har via en scanning med værktøjet Masscan fundet over 30.000 infektioner. Der er dog tvivl om resultatet.
Anbefaling
Installer opdateringerne fra Microsoft. Hvis computere har været på internettet uden opdateringerne, bør de tjekkes for infektioner.
Links
- Script kiddies pwn 1000s of Windows boxes using leaked NSA hack tools, artikel fra The Register
- Playing around with NSA’s hacking tools, blogindlæg af Rik van Duijn
- Protecting customers and evaluating risk, blogindlæg fra Microsoft Security Response Center