- Jämförelsen
- Datorer
- Säkerhetsbristen som utnyttjas av WannaCry lever fortfarande, fyra år senare
Protokollet som användes av WannaCry ransomware för att kryptera nästan en kvarts miljon system över hela världen för fyra år sedan används fortfarande i företagsdatormiljöer, enligt en ny studie från ExtraHop. Nätverksdetekterings- och svarsföretagets hotforskningsteam började undersöka förekomsten av osäkra protokoll som Server Message Block version ett (SMBv1), Link Local Multicast Name Resolutions (LLMNR), NT Lan Manager (NTLMv1) och Hypertext Transfer Protocol (HTTP). ) i företagens IT-miljöer tidigare i år. ExtraHop har nu släppt en ny säkerhetsrådgivning baserad på resultaten av sin undersökning, som avslöjar att dessa protokoll som utsätter organisationer och deras kunder för stora risker fortfarande används idag.
Osäkra protokoll
Enligt ExtraHop-forskning finns SMBv1, som har utnyttjats för attacker som WannaCry och NotPetya och snabbt sprider skadlig programvara till andra oparpade servrar på ett nätverk, fortfarande i 67 % av datormiljöerna 2021. Forskningen fann också att 70 % av miljöerna kör fortfarande LLMNR även om detta protokoll kan utnyttjas för att komma åt hash av användaruppgifter. Dessa autentiseringshaschar kan hackas för att avslöja riktig inloggningsinformation som skadliga aktörer kan använda för att få tillgång till känslig personlig information och affärsdata. Även om Microsoft har rekommenderat att organisationer slutar använda NTLM och går över till det säkrare Kerberos-autentiseringsprotokollet är NTLM fortfarande ganska vanligt och 34 % av företagsmiljöerna har minst 10 klienter som kör NTLMv1. Slutligen fann ExtraHop att 81 % av företagsmiljöerna fortfarande använder tydliga, osäkrade HTTP-uppgifter. ExtraHop produktchef Ted Driggs gav ytterligare information om företagets forskningsresultat i ett pressmeddelande och sa: "Det är lätt att säga att organisationer borde bli av med dessa protokoll i sina miljöer, men många gånger gör de det inte. Det är så enkelt. Att migrera från SMBv1 och andra föråldrade protokoll kanske inte är ett alternativ för äldre system, och även om det är ett alternativ kan migrering orsaka stillestånd. Många IT- och säkerhetsorganisationer kommer att välja att försöka begränsa det föråldrade protokollet snarare än att riskera ett avbrott. Organisationer behöver en korrekt och uppdaterad inventering av deras tillgångsprestanda för att bedöma deras riskställning i händelse av osäkerhet. Först då kan de bestämma hur de ska åtgärda problemet eller begränsa räckvidden för sårbara system i nätverket. "