Update: Wat je moet weten over WannaCry

In navolging op ons eerdere security alert komen we, zoals beloofd, met een hands on security update. Wat moet je weten en hoe wapen je je concreet tegen infecties met WannaCry en andere vormen van malware?

Privacy Shield Security Data

Hoe wapen je je concreet tegen ransomware zoals WannaCry?

Installeer Windows update

Installeer de Windows update MS17-010. Deze komt bij gebruik van Windows update zonder WSUS standaard mee. Mocht er gebruik gemaakt worden van een centrale update server (WSUS), dan zal deze update goedgekeurd moeten worden door een beheerder. Deze update is op 14 Maart 2017 door Microsoft uitgebracht. Er is inmiddels een zogenaamde out-of-band update beschikbaar voor Windows XP en Windows Server 2003

Awareness binnen organisatie

Breng personeel die hun eigen (Windows) laptop/werkstation BYOD (Bring Your own Device) in het netwerk ‘pluggen’ op de hoogte dat ook zij ervoor zorgen dat hun laptop/werkstation up-to-date is!

Schakel SMBv1 uit

WannaCry verspreidt zich via het netwerk over poort 445/TCP. Dit is de standaard SMB (Server Message Block) poort. SMB is het netwerkprotocol dat gebruikt wordt om in Microsoft Windows bestandsuitwisseling tussen meerdere computers mogelijk te maken. De kwetsbaarheid die wordt gebruikt, is een kwetsbaarheid in SMB versie 1. SMBv1 is een oud protocol dat al jaren niet meer echt gebruikt wordt. Toch is versie 1 nog ‘standaard’ geactiveerd in alle versies van Windows voor Windows 10 of Windows Server 2016. Het advies is dan ook om SMBv1 uit te schakelen op elk Windows apparaat. Vanaf Windows Server 2008 en Windows Vista of hoger kan er gebruik gemaakt worden van SMB versie 2 die niet kwetsbaar is. Zie: Support Microsoft.

Netwerkbeveiliging

WannaCry maakt gebruik van een NSA exploit, die kortgeleden door een groep genaamd de ShadowBrokers op internet is geplaatst. WannaCry maakt gebruik van poort 139/TCP (netBIOS) en 445/TCP (SMB). Zorg ervoor dat deze poorten nooit rechtsreeks via het internet zijn te benaderen. Mocht het om wat voor reden dan ook noodzakelijk om op afstand deze poorten te benaderen, gebruik hier dan bijvoorbeeld een VPN voor.

Om de kans op besmetting te voorkomen en vooral de gevolgen van ransomware zoals WannaCry te beperken raden wij aan op netwerken van elkaar te segmenteren en te filteren tussen deze segmenten. Denk onder meer aan de volgende acties:

  1. Maak gebruik van een DMZ naar het internet toe. Plaats in dit DMZ alleen servers die diensten aanbieden voor bijvoorbeeld klanten.
  2. Scheid OTAP (Ontwikkel, Test, Acceptatie, Productie) omgevingen van elkaar.
  3. Segmenteer en filter het kantoorautomatisering-netwerk van segmenten waar servers instaan.
  4. Blokkeer poort 445/TCP uitgaand op kantoorwerkplekken voor andere kantoorwerkplekken met een lokale firewall.
  5. Geen SMB-toegang nodig? Filter dan deze poorten via bijvoorbeeld een (lokale) firewall.

Hoe voorkom je dat je slachtoffer wordt van ransomware?

Technische maatregelen zijn belangrijk om je te beschermen tegen ransomware. Hiermee ben je nog niet ‘veilig’. Virusscanners houden ransomware zeker bij een eerste uitbraak slecht of niet tegen. Een virusscanner is niet altijd DE oplossing. De meeste security incidenten ontstaan nog altijd door menselijk handelen. Dus hoe voorkom je dat je slachtoffer wordt van ransomware? Een paar belangrijke tips:

  • Open geen bijlages zoals pdf, docm, xlsm, js.
  • Open nooit externe links in pdf, Word of Excel documenten.
  • Schakel nooit Office macro’s in als hier om gevraagd Word in documenten of mails waarvan je de herkomst niet weet.
  • Zorg dat back-up drives niet (standaard) beschikbaar zijn op werkstation of server.
  • Betaal NOOIT zomaar de ransomware. Bij bijvoorbeeld WannaCry komen je/de bestanden in de meeste gevallen niet terug!
  • Maak gebruik van security monitoring zodat een uitbraak snel zichtbaar is en gestopt kan worden.
  • Maak regelmatig back-ups van cruciale bestanden en omgevingen, regel deze back-up servers zo in dat deze in een apart segment staan zodat ze niet ook kunnen worden geïnfecteerd.

Lees ook de eerdere Alerts die we schreven over ransomware,  Security Alert WannaCry en  Security Alert Ransomware.

Wil je meer informatie over hoe je je kunt wapenen tegen ransomware? Neem dan contact op via onderstaand formulier en maak kennis met Insite Security!

Informatie aanvragen

Meer artikelen

Bekijk al het nieuws