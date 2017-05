WannaCrypt is een ransomworm: een fenomeen dat Cisco's beveiligingsbedrijf Talos vorig jaar al aankondigde, simpelweg omdat het een voor de hand liggende evolutie is. Intel Security wees destijds onder meer op SamSam, malware die voet aan de grond kreeg door een gat dat al meer dan drie jaar eerder was gepatcht, maar nog steeds effectief bleek. Ter vergelijking: het door WannaCrypt gebruikte gat is pas drie maanden geleden gepatcht.

Microsoft repareerde die kwetsbaarheid namelijk in maart, een maand voordat NSA's exploit EternalBlue werd gepubliceerd. Dat is niet toevallig, zo meldde de Washington Post. Deze SMB-patch volgde op een tip van de dienst aan Microsoft. Dat zal een leuk gesprek zijn geweest. "Oh ja, tussen haakjes, we breken al vijf jaar in op Windows-computers via deze kwetsbaarheid."

NSA-vlaggetje

Het zou mooi zijn geweest als de advisory had vermeld "met dank aan een tip van de NSA", zoals dat wordt gedaan als beveiligingsonderzoekers een gat melden. Voor de SMB-patch, MS017-010 is een dankbetuiging opvallend afwezig. Voor andere maart-patches worden voor elk een hele vloot onderzoekers genoemd. Met een NSA-vlag komt de kwetsbaarheid dan hoger op de agenda te staan bij organisaties als een item om met prioriteit te patchen.

Want in het verleden was dit SMB-gat een effectieve manier van de dienst om in te breken en als je dat zou vermelden, kun je beter de potentiële impact inschatten dan bij een zin als: "An attacker who successfully exploited this vulnerability could craft a special packet, which could lead to information disclosure from the server." Dat staat in bijna elke advisory van kritieke gaten te lezen.

Tweede golf

De ellende van het SMB-gat blijft de IT-wereld, afgaand op lessen van bijvoorbeeld Heartbleed, nog lang volgen, maar de impact die de eerste golf van WannaCrypt had zal het niet meer hebben. We noemden eerder deze week al als voorbeeld cryptovaluta-delvende malware Adylkuzz die nu ook in opkomst is via dezelfde exploit. De meeste organisaties die WannaCrypt nu weten buiten te houden, zijn ook gepatcht tegen deze generatie van die malware.

De impact is bovendien lager, omdat Adylkuzz geen systemen gijzelt, maar wel een negatief effect heeft omdat het resources van zijn bots opsnoept om bitcoins te minen. Wat dat betreft is deze malware zeker een probleem, het zal niet elke organisatie opvallen dat de systemen zijn veroverd, maar het is minder in het oog springend. Op dezelfde manier zaten in Nederland vijf jaar geleden een heleboel systemen al maanden in een Citadel-botnet, voordat Dorifel daar de aandacht op vestigde.

