Servus miteinand,

ich habe meinen Blog lange Zeit zu Gunsten meines Twitter Accounts vernachlässigt. Aber manche Dinge lassen sich eben nicht in 140 Zeichen darstellen.

Nachdem ich ja schon seit Freitag abend vor WannaCry warne und mittlerweile auch die Medien großflächig darüber berichten, brauche ich nichts mehr großes dazu sagen.

Stattdessen will ich ein paar kurze Blogposts zur Prävention und Bekämpfung loswerden.

Der definitive Infektionsvektor ist ja bislang noch nicht 100%ig bekannt, auch wenn die Mehrheit von E-Mail ausgeht.

Was aber bekannt ist, ist der Spreadvektor. Die Ransomware verbreitet sich über SMB v1.

Erste Tätigkeit heute morgen ist es SMB1 zu deaktivieren, vor allem wenn man Systeme hat die nicht gepatcht werden können!

Beispielsweise ein MRT auf dem ein Embedded XP läuft und das nur vom Hersteller gepatcht werden kann. Für das Gerät selbst können wir nichts tun. Aber wir können zumindest verhindert dass außenherum möglichst alles immun ist. Das ist quasi wie Impfen. Je mehr Leute um einen herum geimpft sind umso niedriger ist die Wahrscheinlichkeit, dass man es selbst abbekommt.

Noch besser wäre natürlich Netzwerksegementierung mit entsprechenden Firewalls auf denen Port 445 (SMB) gesperrt ist, aber meist geben die Budgets das ja leider nicht her.

Auf jeder Windows Machine lässt sich SMB1 mit den nachfolgenden beiden Kommandos abschalten:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

PC neustarten und schon ist SMB1 Vergangenheit

Und heute wäre ein guter Tag um dem Management nahe zu bringen, dass Security Updates nicht einfach nur Maintenance sind. Maintenance wird nämlich auch gerne mal verschoben, weil keine Zeit, kein Budget, keine Prio etc.

Security Updates sollten mandatory sein, wie tanken. Mit leerem Tank kommt man auch nirgendwo hin.