GDI Foundation beantwoordt vragen naar aanleiding van EternalBlue

De afgelopen weken heeft ISP Today een aantal tweets van de GDI Foundation geretweet. De reden was simpel en is waarschijnlijk bij iedereen wel bekend. Mocht je om welke reden dan ook de laatste twee maanden geen tv hebben gekeken of security fora hebben bezocht dan hierbij nog even de verklaring: MS17-010, in de wandelgangen beter bekend als EternalBlue.

EternalBlue kan een hoop schade aanrichten. In het oog springt vooral dat het bijna de gehele Windows familie ondermijnt. Windows 2000 is er evenzo vatbaar voor als Windows server 2016. Wetende dat elke scriptkiddie (of scholier tijdens zijn vakantie!) ergens een dump kan oppakken en er mee aan de slag kan gaan is geen prettig vooruitzicht. Om die reden is door een aantal personen en instanties dan ook aan de bel getrokken: patch je systemen, voordat het te laat is!

Dat patchen mag geen probleem zijn, Microsoft heeft ze en alles is goed gedocumenteerd. Patchen lijkt echter iets te zijn dat niet iedereen hoog op zijn agenda heeft staan. Toen een week geleden het NOS journaal aandacht besteedde aan het onderwerp was in Nederland sprake van bijna 16.000 IP’s met kwetsbare configuraties. Het TV programma en de lopende communicatie miste zijn uitwerking niet. De teller van alsnog dichtgetimmerde systemen liep al snel op naar meer dan 5.000. Een fraaie score, maar het moet beter.

Daarom brengen we het onderwerp nog maar eens onder de aandacht. We laten het niet bij bovenstaande, we hebben ook de GDI Foundation enkele vragen voorgelegd. De antwoorden van Victor staan hieronder integraal weergegeven.

Wat doet de GDI?

GDI Foundation is een non-profit organisatie die zich inzet voor een open en veilig Internet door beveiligingsproblemen op te sporen en deze op te lossen met Responsible Disclosures (gewoon melden bij de eigenaar).

Jullie doen veel aan RD, normaal doe je dat toch naar de eigenaar van een server. Is dat met EternalBlue, waarbij je ook gewoon ziet staan bij welke hosters de zwaktes zijn, wel de juiste aanpak? Moet je niet veelmeer de hosters als eerste waarschuwen?

Dat is een goede vraag. We willen de hosters zo min mogelijk belasten met meldingen naar hun servicedesk. We proberen eerst de eigenaar van het systeem te vinden zonder hier meteen de hosters lastig te vallen. Dit wat langer maar het werkt niet om met 1 melding te komen dat er 1200 systemen kwetsbaar zijn. Dat is het probleem over de schutting gooien. Er is veel te herleiden aan bv DNS informatie. Een hostname met {isp}.colo.{servername}. zegt al dat deze ISP alleen rackspace en netwerkverbinding levert. Deze meeste Windows server zijn Small Business servers en hebben de meeste ook een geldig x.509 certificaat waar ik de naam van de Organisatie, Domeinnaam (soms NAW) gegevens kan halen. Dan is het vaststellen van het eigenaarschap niet moeilijk en kan geautomatiseerd uitgevoerd worden. Van alle servers waar we de eigenaar niet konden herleiden de melding naar de hoster toegestuurd met het verzoek om deze door te zetten naar hun klant.

Hebben jullie opvallende feedback gekregen op de meldingen,bijvoorbeeld dat het ging om shadow IT of compleet vergeten, verweesde configuraties?

Dit is eigenlijk een van de dingen die ons opviel: de response is ontzettend laag. Ja er wordt binnen een paar uur geacteerd, maar er is op twee telefoontje en paar LinkedIn invites redelijk stil gebleven. Dat is best jammer maar zolang het doel word bereikt zijn we tevreden. Zeker qua doorlooptijd hebben we niets te klagen. Met ervaring van vorige jaren zien we dat de awareness rondom dit probleem geen issue meer is. Wellicht is dit de reden waarom zo soepel gaat deze week. Als we pas volgende week waren gestart zat het vast niet zo vers in het geheugen en met een vakantietijd voor de deur…

Het ging om de meeste gevallen om productieomgevingen zover we dat konden herleiden aan de server naam / domein naam. We gaan niet even een kijkje nemen wat er dan precies allemaal een risico loopt. We checken met een NMAP script of de service kwetsbaar is en daar laten we het voor de validatie. De vraag is wat de webhosters kunnen doen. Sinds januari dit jaar zijn er meerdere advisories gepubliceerd dat het verstandig is om deze port/service achter een firewall te plaatsen en alleen te ontsluiten via een VPN verbinding.

Niet alle EternalBlue kwetsbaarheden zijn waarschijnlijk te herleiden naar serverparks van reguliere hosters. Heb jullie indicaties van de omvang van het probleem bij “thuishosters”?

Ja wie ook een hoop (458) organisaties hun eigen IT middelen hosten via bv Ziggo (zakelijk) hun servers aan het internet (zonder een firewall). Het is ook deze groep waar we veel meer problemen zien die eigenlijk meteen een follow up mail moeten krijgen wat ze nog meer zouden moeten doen.

Wat kan de markt, in het bijzonder de doelgroep van ISP Today, doen om deze kwetsbaarheid sneller te verhelpen?

Informeer je klanten en help ze even als ze niet weten hoe het moet. Het is kleine moeite om deze service even te tijdelijk te firewallen totdat deze gepatched is (*). Graag zou ik ook weten welke hosters er allemaal gebruik maken van abuse.io. Zodat we elkaar makkelijker en efficiënter kunnen informeren over eventuele misstanden met uw server of die van uw klant. Als u niet zelf in staat bent om vast te stellen of uw server kwetsbaar zijn, willen we graag daar in adviseren of hulp bij bieden.

(*)  Victor beschreef nog apart de volgende begrippen naar aanleiding van een aparte vraag:

  • gepatched – De service was kwetsbaar. Deze is gepatched met MS17-010 en nog steeds bereikbaar via het internet.
  • Gefirewalled – De service was kwetsbaar maar nu is deze service achter een firewall geplaatst (nmap zegt: filtered).
  • offline gehaald – De service was kwetsbaar maar nu is de server niet meer bereikbaar (nmap zegt: host down) Dit zijn er maar een paar honderd. Deze houden wel even in de gaten want misschien staan ze in onderhoud.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen