Onlangs heeft de hackersgroep ‘Shadow Brokers’ tools vrijgegeven die NSA tot op de dag van vandaag gebruikt om toegang te krijgen tot windows-toestellen. Deze tools zijn voor iedereen beschikbaar. 

Eén van deze tools ‘DoublePulsar’ kan alle toestellen van windows XP tot en met windows 2008 R2 overnemen, zonder dat er een wachtwoord aan te pas komt. Hierdoor zijn er massaal veel scans uitgevoerd op het internet.

Deze scans kunnen namelijk zowel intern als extern uitgevoerd worden. 

Wat is DoublePulsar?

DoublePulsar exploit is een softwarelek in het SMB protocol. Dit protocol wordt gebruikt om bestanden uit te wisselen tussen twee toestellen. Meestal wordt dit gebruikt voor fileservers, maar van zodra een bestand in een map gedeeld wordt, gebruik je dit protocol. 

DoublePulsar gebruikt de eerste versie van SMB en maakt een speciaal bestand waardoor een connectie gestart kan worden. Daarnaast laat het geen sporen na, waardoor het zeer moeilijk te detecteren is. 

Door middel van een externe scan kan je alle toestellen scannen waar de SMB poort open staat en deze vanaf het internet overnemen. 

Met een interne scan kan je verschillende toestellen in het domein overnemen als ze SMBv1 gebruiken. Aangezien heel wat toestellen in een domein gebruik maken van dit protocol is de kans zeer groot dat minstens één toestel kwetsbaar is. 

Hoe tegenhouden?

Microsoft heeft al een oplossing voor dit probleem. Hierbij wordt SMBv1 uitgeschakeld en gebruik gemaakt van SMBv2 en SMBv3. 

Voor windows XP en windows server 2003 is er geen oplossing omdat hier enkel SMBv1 ondersteund wordt. Heb je toch nog dergelijke systemen draaien, schakel SMB dan volledig uit. 

Bezorgd?

Terecht! Aangezien dit een zeer grote impact kan hebben op de veiligheid van jouw netwerk. 

Zo snel mogelijk reageren is dus de boodschap.

Maak gerust een afspraak, wij komen langs en voeren een vrijblijvende quickscan uit om het probleem aan te pakken.