Voorkom aanvallen als NotPetya en Stuxnet
De wereld is de afgelopen jaren meermaals opgeschrikt door ernstige cyberdreigingen. Twee daarvan waren Stuxnet en NotPetya. Deze vormen van malware wisten veel schade aan te richten, mede door een gebrek aan server hardening.
Stuxnet werd in 2010 ontdekt en is een malafide computerworm. De worm kon zich verspreiden dankzij een (toen al bekende) kwetsbaarheid in de printer spooler service op Windows servers die het doelwit waren van de aanval. Die service was in de meeste gevallen niet noodzakelijk, het waren immers geen printservers maar systemen die onder meer werden ingezet in het proces om uranium te verrijken.
Uiteindelijk werden 200.000 computers getroffen door Stuxnet. Was de spooler service niet aanwezig geweest op deze systemen, dan was dit aantal waarschijnlijk lager geweest.
NotPetya is een recentere aanval. Deze malware, gebaseerd op de ourdere ransomware variant Petya, sloeg in 2017 om zich heen, en dan met name in Oekraïne. Volgens een schatting van het Witte Huis wist deze aanval in totaal 10 miljard dollar aan schade aan te richten bij zijn slachtoffers.
Ook NotPetya had voorkomen kunnen worden (of de impact had kleiner kunnen zijn) als er geen misbruik gemaakt had kunnen worden van het SMB1-protocol. Dit protocol werd in 1983 ontworpen en onder andere door Windows ’95 gebruikt voor het delen van bestanden. Het protocol is logischerwijs flink verouderd maar op veel getroffen servers werd het nog toegestaan, terwijl het al lang niet meer nodig is en al enige tijd als onveilig wordt bestempeld.
Server hardening
Beide aanvallen hadden dus voorkomen kunnen worden als er server hardening plaats had gevonden. Server hardening is het proces waarbij onnodige zaken als software, services, serverrollen en dergelijke zo veel mogelijk worden uitgeschakeld om zo het aanval “oppervlak” zo klein mogelijk te maken en te houden.
Bekende maatregelen zijn het installeren van updates en het inzetten van een gedegen beveiliging beleid, bijvoorbeeld rondom wachtwoorden. Maar diverse andere maatregelen blijken minder bekend of worden vergeten. Het uitzetten van ongebruikte en onnodige functies, services en rollen – zoals het SMB-protocol of de print spooler service in het geval van NotPetya en Stuxnet – behoren hier ook toe.
Daarnaast kan een server beschermd worden door administrator-accounts restricties te geven. Het is bijvoorbeeld vrij gemakkelijk om op een Active Directory-account in te stellen tussen welke tijden iemand in mag loggen. Een hele simpele maatregel om ongeautoriseerde actoren beter buiten de deur te houden.
Een geavanceerdere maatregel is het gebruik van Group Managed Service Accounts voor het beheer van Service Accounts. Een specifiek account dat wordt ingezet ten behoeve van specifieke services en/of applicaties. De wachtwoorden voor deze accounts worden beheerd door Active Directory Domain Services waardoor jij niet hoeft na te denken over wanneer een Service Account toe is aan een nieuw wachtwoord, iets wat in de praktijk vaak vergeten of lastig gevonden wordt.
Een nadeel van dit alles is wel dat het veiliger maken van een systeem in de praktijk vaak ten koste gaat van bepaalde functionaliteit of de snelheid waarmee een systeem reageert. Ook kan het andere beperkingen met zich meebrengen – bijvoorbeeld het gebrek aan de optie om vanaf bepaalde locaties in te loggen. Iets om rekening mee te houden.
Aanvallen vanaf de werkvloer
Wat nog wel eens over het hoofd wordt gezien is een fysieke aanval in plaats van een aanval via het internet. Uiteraard moet iemand daarvoor wel fysiek aanwezig zijn maar ook dat is niet ongewoon. In het geval van Stuxnet werd de malware onder andere in de beoogde omgeving geïntroduceerd via een geïnfecteerde USB-stick. Een apparaat hoeft dus niet eens met het internet verbonden te zijn om gevaar te lopen.
Het kan daarom ook verstandig kan zijn om de BIOS af te schermen met een wachtwoord. Staat iemand dan bij een server met de intentie om in te breken dan wordt het, met (wederom) een simpele ingreep op z’n minst moeilijker gemaakt de controle over het system te krijgen.
In mijn werk zie ik vaak dat vergeten wordt om gastaccounts uit te schakelen, zowel op servers als op werkstations. Deze accounts vereisen geen wachtwoord om in te loggen wat betekent dat iemand vrij gemakkelijk op het systeem en het netwerk kan komen. Aangezien gastaccounts een integraal onderdeel zijn van Windows 7 en Windows Server 2008, beiden nog veel gebruikt in productieomgevingen, blijft dit een punt van aandacht.
Zo zijn er nog talloze andere maatregelen die je kunt nemen als onderdeel van server hardening. Voor het gemak heeft Microsoft een security baseline opgezet en ook CIS benchmarks heeft een zeer nuttige en waardevolle collectie benchmarks met daarin een reeks configuratie-instellingen die een positieve impact hebben op de beveiliging van je infrastructuur. Deze worden allemaal gratis ter beschikking gesteld dus doe er je voordeel mee!
Sander Bruijs is IT consultant met ruim 25 jaar ervaring in het vak.
Legt zich de laatste jaren vooral toe op migratie- en adoptieprojecten,
Werkt voor SBC.