Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Actief misbruik van ShadowBrokers exploits

Nieuws | 26-04-2017

Eerder deze maand heeft ShadowBrokers een verzameling van documenten en exploits online gezet.

Diverse bronnen [1, 2] signaleren actief misbruik van exploits/malware uit deze verzameling, waaronder:

  • ETERNALBLUE is een exploit die het filesharing protocol SMB op Windows systemen (XP tot Server 2008 R2) misbruikt om die systemen te compromitteren.
  • DOUBLEPULSAR is een backdoor die op gecompromitteerde systemen ge├»nstalleerd kan worden om diverse malafide code uit te voeren.

Het NCSC adviseert, zoals altijd, om systemen tijdig en volledig te updaten met de meest recente beveiligingsupdates. In maart heeft Microsoft beveiligingsupdates uitgebracht (MS17-010) [3] voor bovenbeschreven kwetsbaarheden. Ook in deze situatie zijn de basisbeveiligingsadviezen van toepassing, zoals het niet direct koppelen van fileservers (SMB-protocol) aan het internet en bijvoorbeeld het gebruik van antivirusproducten. Het NCSC blijft de ontwikkelingen nauwlettend volgen.

[1] https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/

[2] http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/

[3] https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2017-0229+1.00+MS17-010+Microsoft+verhelpt+kwetsbaarheden+in+Windows+SMB+Server.html

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017