Sinds vrijdag 12 mei slaat de WannaCry/WannaCrypt crypto-worm om zich heen. Deze worm, die zich richt op Windowssystemen die via SMB (protocol voor bestandsuitwisseling tussen computers en netwerken) bereikbaar zijn, probeert via verschillende registeritems de schijf te versleutelen. Vervolgens is een betaling aan de kwaadwillenden nodig om toegang tot de versleutelde data te verkrijgen. Media melden dat een Spaans telefoonbedrijf en verschillende Engelse ziekenhuizen slachtoffer zijn geworden van de worm.
Een eerdere versie van de worm gebruikte Social Engineering om systemen te infecteren: gebruikers moesten op een link klikken of een attachment openen in de e-mail zodat de worm toegang kreeg tot de computer. De nieuwe versie van de worm maakt gebruik van “EternalBlue”; een kwetsbaarheid van het SMB-protocol op systemen die nog niet de aangekondigde updates uit het nieuwsbericht MS-17-010 geïnstalleerd hebben.
Het ingeschatte risico op systemen voor True is niet hoog. De eerste versie van de worm treft vooral computers die door mensen actief gebruikt worden om te e-mailen en surfen. De Windows-servers bij True worden enkel via de grafische interface gebruikt voor beheerstaken.
Het infectiegevaar via SMB is ook niet groot. Toen begin april een zero-day lek Windows’ SMB-protocol, volgens geruchten door de NSA ontdekt maar niet gemeld aan Microsoft, als kwetsbaar bestempelde heeft True uit voorzorg alle firewalls gecontroleerd en indien nodig SMB onbereikbaar gemaakt.
Het blijft echter belangrijk om als gebruiker van het systeem op je hoede te blijven. Het risico blijft bestaan dat een payload, van deze worm of een volgende, een server infecteert als de gebruiker geïnfecteerde bestanden uitvoert. Wij raden daarom aan om enkel beheerstaken uit te voeren op de servers bij True en geen bestanden te openen waarvan de herkomst niet bekend is.
True inventariseert de vervolgstappen voor alle servers in het beheer, om de risico’s te blijven minimaliseren.
