De afgelopen dagen zijn verschillende hacks, lekken en kwetsbaarheden voorbijgekomen. “PrintNightmare”, Kaseya-software en Hackerscollectief REvil kwamen langs en veel organisaties (en medewerkers) zijn op zoek naar duiding. Wat betekent dit voor mij? Ben ik in gevaar? Waarom kan ik niet meer printen? Met het bericht dat hackers inmiddels een claim van 70 miljoen dollar in bitcoin hebben geëist, tijd om een aantal vragen te beantwoorden. We stelden ze aan Jasper Thijssen, Operations Manager van Claranet.
Jasper, wat is er aan de hand?
Momenteel lopen er 2 issues naast elkaar. De wereld heeft last van een lek in de zogenaamde Windows Print Spooler Service EN er is een ‘megahack’ aan de gang via de software van Kaseya. Deze twee issues hebben initieel niets met elkaar te maken maar dat is niet voor iedereen duidelijk waardoor het op een hoop gegooid wordt onder de noemer “cyberaanval”.
Ok, laten we starten met de eerste; wat is het probleem met de Print Spooler Service?
Wat hier gebeurt, is een ongelukkige samenloop van omstandigheden, maar wel een met enorme impact. Hiervoor moeten we even duidelijk het verschil maken tussen ethische hackers en cybercriminelen. Het verschil tussen beide is evident alhoewel ze beiden ‘hacken’. Wat er nu gebeurd is, is dat Microsoft een lek in de Windows Print Spooler Service heeft gedicht met een patch in juni. Dat is niets nieuws, de updates zijn daar juist voor bedoeld en er worden zo tientallen lekken gedicht per keer. In dit geval heeft het Chinese beveiligingsbedrijf QiAnXin een uitleg online gezet waarin zij uitlegden wat het lek was en hoe je het kon uitbuiten. Waar het fout gegaan is, is dat zij dachten dat de patch dit specifieke lek had gerepareerd waardoor ze er vrij over konden publiceren. Ze hadden het lek dus eerder ontdekt en (vanuit het ethisch hacken) aangemeld bij Microsoft. Het is dan de ongeschreven regel dat ze er pas over gaan publiceren als het lek gedicht is. Zoals gezegd; ze dachten dat het lek gerepareerd was… maar dat was dus niet het geval. De exploit, onder de naam ‘PrintNightmare’, is daarna wereldwijd opgepikt en omdat er nog geen patch is om het lek te dichten gaat het dus om een zeroday-kwetsbaarheid die weliswaar verband houdt met de eerdere kwetsbaarheid, maar als nieuw lek beschouwd moet worden.
Wat kun je hier tegen doen?
De eerste en veiligste oplossing is om de Windows Print Spooler Service niet meer te gebruiken. Dat was ook het advies van zowel Microsoft als diverse overheidsinstanties. Dat gaat echter ten koste van het daadwerkelijke kunnen printen. Nu is de impact daarvan per organisatie verschillend. Onze zusterorganisatie Rely is marktleider binnen het notariaat. Daar is het zo’n beetje core-business om te printen. Zonder dat kunnen ze het kantoor sluiten. Daarnaast is het bijvoorbeeld binnen de industrie niet te doen om niet te printen, al zijn het maar de labels voor alles wat van een lopende band afloopt. De standaard “uitschakelen” is voor sommige klanten gewoon geen optie. Dus daar is het de afweging tussen de kwetsbaarheid aan de ene kant en de impact aan de andere kant. Uiteraard zijn we druk in de weer om extra maatregelen in te zetten en te kijken naar de suggesties die gedaan worden op de verschillende security-kanalen. Echter is het licht aan het eind de tunnel pas in zicht als Microsoft een reparatiepatch heeft die we kunnen uitrollen. We verwachten dat die elk moment beschikbaar kan zijn, maar dat kan ook nog dagen (of wellicht weken) duren.
Wat is de daadwerkelijke impact?
Met de kwetsbaarheid op de Print Spooler Service is het mogelijk dat elke gebruiker binnen een netwerk zichzelf kan promoveren tot admin. Waar een gebruiker veel minder rechten heeft op een platform kan een admin-account alle instellingen aanpassen. Het is het account die normaal gesproken in handen is van de IT-afdeling of de IT-leverancier die het beheer doet van een omgeving. Je kan hiermee gebruikers aanmaken, rechten geven, machines uitschakelen maar dus ook, en dat is het gevaarlijkst, de virtuele deuren van de omgeving wagenwijd open zetten met alle gevolgen van dien. Behalve dat je een enorm datalek hebt (en data dus daadwerkelijk gestolen kan worden), is het meest reële scenario van een cybercrimineel om ransomware te gebruiken. Daarmee wordt de omgeving versleuteld en kan je door het betalen van losgeld (ransom) een digitale sleutel kopen om weer bij je eigen data te komen om verder te werken.
Kortom; het is van groot belang om de criminelen buiten te houden en te zorgen dat ze niet via een lek binnenkomen.
Ransomware… dat is toch precies wat er bij die andere hack gebruikt is?
Jazeker, maar daar houdt zo’n beetje elke vergelijking op. Ransomware is momenteel de meest gebruikte tool om snel geld te verdienen aan een hack. Voorbeelden zijn bekend van onder andere de Universiteit van Maastricht die destijds bijna 2 ton betaalden om het beheer van het universiteitsnetwerk terug te krijgen. In het geval van de huidige aanval gaat het om gijzelsoftware die werd verspreid via zogeheten VSA-software van de Amerikaanse softwareleverancier Kaseya. VSA wordt veel gebruikt door IT-dienstverleners, die dit programma gebruiken om omgevingen van hun klanten op afstand te onderhouden en te beheren. Kaseya heeft zo’n 37.000 klanten en ze schatten dat ongeveer 50 tot 60 procent daarvan geïnfecteerd is. En nu eisen de daders, hackgroep REvil, 70 miljoen dollar voor een digitale sleutel om de versleuteling ongedaan te kunnen maken.
Wat valt hiertegen te doen?
Ook in dit geval; stop met het gebruik van de software tot het gerepareerd is. Gelukkig voor onze klanten maken wij amper gebruik van deze software, alleen voor een selecte groep klanten met een on-premise-omgeving. Daar hebben we alle controles op uitgevoerd en die lijken gevrijwaard van de gevolgen. Het zure is dat deze aanval bijna was gestopt voor hij was begonnen. Het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekte het lek in de software waarmee je eenvoudig bestanden op de servers van de gebruikers kon plaatsen zonder dat het opgemerkt werd. Ook in dit geval is de leverancier, Kaseya, direct geïnformeerd. De Amerikanen gingen samen met de Nederlanders druk in de weer om de beveiliging weer op orde te krijgen. Naar verluidt hebben ze zich een slag in de ronde gewerkt om het lek te dichten. Het huurde vijfhonderd man in en kocht zelfs een extra IT-beveiligingsbedrijf. Ze hadden het gat in de beveiliging net gedicht toen vrijdagavond het pijnlijke nieuws doordrong: de hackgroep REvil had het lek ook gevonden en had al toegeslagen.
Wat kunnen we van beide gevallen leren?
Cyberaanvallen doormiddel van ransomware wordt een steeds grotere business voor criminelen en we gaan hier in de toekomst helaas allemaal vaker mee te maken krijgen. Zoals bij veel complexe problemen is ook hier niet één oplossing. Daarnaast is er ook altijd een afweging nodig tussen veiligheid en functionaliteit. Het is belangrijk om zo veel mogelijk de updates van het besturingssysteem of generieke applicaties (zoals browsers) uit te voeren. Wij hebben er zelf voor gekozen om hiervoor een onderhoudsframework te bouwen waarmee we klantomgevingen geautomatiseerd kunnen voorzien van de laatste patches. Dit zijn we op dit moment overal aan het toepassen.
Daarnaast is ons security team alert op zeroday-kwetsbaarheid of meldingen van exploits van software die in ons beheer zijn waarop we dan ook snel kunnen acteren. Deze twee issues zijn naar voren gekomen omdat de update (nog) niet uitgebracht is. Dat laat maar eens zien hoeveel updates er, vaak in de achtergrond, draaien. Daarnaast zie je, met name bij het PrintNightmare-lek, hoe belangrijk het is om de gebruikers naar een hogere staat van alertheid te brengen. Zoals we al zeiden; met dit lek kan elke gebruiker zichzelf opwaarderen naar een admin-status. Maar dan moet een crimineel dus al wel binnen zitten. Het is een fabeltje dat je een hack direct ontdekt. Sterker nog; in de meeste gevallen gaan er maanden overheen voordat iemand met toegang ook daadwerkelijk iets uitvreet op het platform. Bij het eerdergenoemde incident bij de Universiteit van Maastricht zijn de criminelen pas 246 dagen nadat ze zijn binnengekomen, actief geworden. De reden dat ze zolang wachten is dat ze eerst bezig zijn om van het niveau van binnendringen door te ‘groeien’ naar hogere niveaus zodat ze echt schade kunnen aanbrengen. Dus het kan zijn dat er allemaal organisaties zijn waar de criminelen al binnen zitten zonder dat ze zijn opgemerkt, en dat ze nu met dit lek ineens door kunnen stoten naar admin-status en daar hun gijzeling kunnen starten.
Het vervelende is wel dat je nooit helemaal zeker kunt zijn dat je volledig veilig bent. We moeten continu blijven opletten of onze maatregelingen afdoende zijn en waar we nog kunnen verbeteren. Wat dat betreft is security een serieuze dagtaak en wordt het steeds meer een integraal onderdeel van je strategie.
Dus; zorg dat ze überhaupt niet binnenkomen?
Correct; uiteindelijk is ook hier voorkomen beter dan genezen! Mijn advies is om hierover in gesprek te gaan met je IT-leverancier. Iedere partij die IT een beetje serieus neemt, heeft een uitgebreid programma op security-gebied. Dus niet alleen de noodzakelijke firewall en multi-factor authenticatie, maar ook Security Awareness-trainingen voor de medewerkers om als een menselijke firewall te dienen en de criminelen buiten te houden.
Update 14-7;
Naar aanleiding van bovenstaande vragen en antwoorden kregen we enkele vragen die we Jasper Thijssen ook voorgelegd hebben. Hieronder de bijbehorende antwoorden:
We kregen de vraag wat “mitigerende maatregelen” precies zijn?
Mitigerende maatregelen is een moeilijke omschrijving voor het nemen van extra maatregelen die het negatieve effect van het probleem tegengaan. Als je een goede vergelijking wilt maken, is om je vaccineren tegen een dreigende ziekte. Je kunt er voor kiezen om in complete quarantaine te gaan, je niet te vaccineren maar wel je normale gang van zaken op te pakken (met de kans te lopen om ziek te worden) of te vaccineren. In het laatste geval voorkom je niet 100% zeker dat je ziek wordt, maar je voorkomt wel dat je heel veel last van hebt. Dat is precies wat een mitigerende maatregel doet; het voorkomt het probleem niet maar zorgt ervoor dat het gevolg minder impact heeft. In het geval van PrintNightmare kun je er dus voor kiezen om de service uit te schakelen (“in quarantaine”), de service gewoon te laten draaien zonder extra maatregelen (“niet vaccineren”) of de mitigerende maatregelen toe te passen (“wel vaccineren”). De mitigerende maatregelen die we in dit geval hebben ingezet, hebben vooral te maken met extra toegangsdrempels en het beperken van rechten.
Wat is er sinds vorige week gebeurd?
Voor de Kaseya-hack is er voor ons eigenlijk geen vervolg gekomen. Voor de selecte groep klanten waar we de VSA-software voor ingezet hadden, zijn we inmiddels overgestapt naar een andere softwareleverancier en maken we dus geen gebruik meer van de Kaseya-software. Gelukkig hebben onze klanten geen enkele impact van dit issue ervaren.
Voor Printnightmare zijn er door Microsoft afgelopen week patches uitgebracht om het beveiligingslek te dichten. Deze patches zijn op zich niet voldoende om het lek volledig te dichten. Er wordt door de patch als het ware een extra drempel opgeworpen, maar er is nog geen sprake van een volledige beveiliging. Daarnaast zijn er door Microsoft extra instructies gegeven om instellingen zo aan te passen op de platformen waardoor de patches wel volledig dekkend zijn. Hiermee kunnen we dus terug naar ‘running business’ waarmee we de Windows Print Spooler Service weer kunnen inschakelen. Ergo: we kunnen daarna weer normaal printen.
Hoe lang duurt het om dit voor alle klanten te implementeren?
Het is nu nog even koffiedik kijken. We zijn hard aan het werk om de juist instellingen door te voeren, de mitigerende maatregelen, die we eerder hadden ingesteld, uit te schakelen en daarna de Print Spooler Service weer in te schakelen. Uiteraard, moeten we waken dat dit geen aanvullende problemen veroorzaakt. Ik verwacht dat de eerste klanten de komende dagen al weer kunnen printen, uiterlijk eind van deze week. Maar zoals gezegd; het is koffiedik kijken. Het blijft dus een voorzichtige inschatting.
Zijn er klanten geraakt?
Geraakt als in ‘verminderde’ functionaliteit, jazeker! Het is natuurlijk afhankelijk van de verschillende bedrijfsprocessen maar eigenlijk is er altijd wel impact. Gelukkig is er, zover we nu weten, bij geen van onze klanten ook misbruik gemaakt van één van de beveiligingslekken. Het is nu zaak dat we dit goed in de gaten blijven houden, en te zorgen dat dit ook niet gaat gebeuren terwijl we bezig zijn om terug te gaan naar ‘business-as-usual’.
Meer informatie over ons security-portfolio is hier te vinden. Wil je eens vrijblijvend sparren met een van onze experts, neem contact op via onderstaand formulier of bel met 040-2393 300 voor het maken van een afspraak.