Avira: Rund 300.000 Systeme weltweit weiterhin anfällig für WannaCry

Avira hat rund 300.000 Computer entdeckt, die weiterhin anfällig sind für Infektionen mit WannaCry oder NotPetya. Die betroffenen Systeme sind nach Angaben des Unternehmens nicht gegen Angriffe auf die im März 2017 gepatchte Lücke im Protokoll SMB1 geschützt. Viele dieser Systeme befinden sich seitdem in einem „endlosen Infektionszyklus mit neuen Infektionen auf Kernel-Ebene sobald die vorherigen entfernt wurden“.

Die Lücke in der Version 1 des Netzwerkprotokolls Server Message Block erlaubt es, Schadsoftware über das Netzwerk zu verbreiten. Ursprünglich hatte der US-Geheimdienst NSA die Anfälligkeit mithilfe des als Eternal Blue bezeichneten Exploits für Spionagezwecke genutzt. Nach der Offenlegung des Exploits durch die Hackgruppe The Shadow Brokers wurde die Sicherheitslücke unter anderem für die Verbreitung der Erpressungstrojaner WannaCry und NotPetya verwendet.

Bei den von Avira entdeckten Windows-Systemen handelt es nach Angaben des Unternehmens überwiegend um Raubkopien des Microsoft-Betriebssystems. Bei der Suche nach den Gründen für die wiederholten Infektionen seien auf den fraglichen Systemen oftmals Aktivierungs-Cracks gefunden worden – also Lösungen, die ein Windows-Betriebssystem ohne gültigen Lizenzschlüssel aktivieren sollen.

Diese Systeme hätten in der Regel, meist auch bewusst, mindestens seit März 2017 keine Patches erhalten. Avira setzte auf diesen Computern nun die auch von Microsoft vorgeschlagene Lösung um, dass SMB1-Protokoll vollständig abzuschalten. „Wir haben entschieden, es auf den Maschinen zu deaktivieren, die in einer endlosen Infektionsschleife sind und auf denen die benötigten Patches nicht installiert wurden“, teilte das Unternehmen in seinem Blog mit.

Die Umsetzung dieser Lösung führte schließlich zur Entdeckung der besagten rund 300.000 Computer. Derzeit sollen die Sicherheitsanwendungen von Avira täglich auf rund 14.000 Computern das SMB1-Protokoll abschalten. „Die Strategie geht auf“, ergänzte Mikel Echevarria-Lizarraga, Senior Virus Analyst bei Avira. „Sobald das SMB1-Protokoll deaktiviert wurde, sind dieselben Maschinen nicht immer wieder von dem Problem betroffen.“

Die meisten anfälligen Systeme mit nicht lizenzierten Windows-Versionen fand Avira außerhalb von Nordamerika und Europa, und zwar in Ländern wie Indonesien, Taiwan, Vietnam, Thailand, Ägypten, Russland, China, Indien und der Türkei. Das decke sich mit einer Studie von Statista, wonach der Anteil nicht lizenzierter Software mit durchschnittlich 52 bis 60 Prozent außerhalb der USA und der EU am größten sei.