Angreifer scannen Windows-Systeme auf BlueKeep-Lücke

[English]Aktuell gibt es wohl einen Versuch von Cyber-Kriminellen, das Internet auf per BlueKeep-Schwachstelle verwundbare Windows-Systeme zu scannen und diese dann anzugreifen.


Anzeige

BlueKeep: Remote Desktop Services-Schwachstelle

In den Remote Desktop Services – früher bekannt als Terminal Services – bestecht eine gravierende Schwachstelle mit der Bezeichnung CVE-2019-0708. Ein nicht authentifizierter Angreifer kann sich über spezielle Anfragen über RDP mit einem Zielsystem verbinde. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.

Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2

Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 veröffentlichte Microsoft ein Sicherheitsupdate für ältere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schließt.

Ich hatte im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 über diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI), die eine ähnliche Gefahr wie bei der Schwachstelle, die für den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows thematisiert. Dort habe ich auch die benötigten Updates zum Patchen der Schwachstelle verlinkt – für nicht so erfahrene Nutzer vielleicht ganz hilfreich.


Anzeige

Angriffe nur eine Frage der Zeit

Es war klar, dass es nicht so lange dauern dürfte, bis erste Angriffe auf Systeme, bei denen die BlueKeep-Lücke nicht geschlossen wurde, stattfinden. Im Blog-Beitrag BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows hatte ich auf den aktuellen Sachstand im Hinblick auf Exploits hingewiesen. Vor einigen Tagen gab es noch keinen öffentlichen Exploits – was sich inzwischen aber geändert hat. Und nun weist Catalin Cimpanu in folgendem Tweet drauf hin, dass jetzt ein Angreifer hinter einem Tor-Knoten das Internet auf über BlueKeep-Schwachstelle angreifbare Windows-Systeme scannt.

Wer die Schwachstelle noch nicht gepatcht hat, sollte das dringend für Systeme, die am Internet hängen, tun.

Ähnliche Artikel:
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Angreifer scannen Windows-Systeme auf BlueKeep-Lücke

  1. Bernard sagt:

    Das Update 2019-05 Security Only Quality Update for Windows 7 for x64-based Systems (KB4499175) enthält PCIClearStaleCache.exe.

    Verursacht PCIClearStaleCache.exe erneut Probleme?

    Zerlegt es die Netzwerkkonfiguration?

    • Günter Born sagt:

      Meine Interpretation ist: Nur relevant für Leute, die ewig keine Updates mehr installiert haben und das nur tun wollen, dann aber in Netzwerkprobleme rennen, die müssen sich den PCIClearStaleCache.exe besorgen. Bei allen anderen Systemen sollte der Stale Cache bereinigt sein. Mag mich aber irren.

      • Bernard sagt:

        Danke für den Hinweis. :-)

        Habe jetzt das 2019-05 Security Only Quality Update installiert, ohne explizit PCIClearStaleCache.exe aufzurufen.

        Es funktioniert.

  2. oli sagt:

    Betrifft im Grunde Windows-Rechner, die nicht hinter einem NAT-Router hängen, bzw. wo eine RDP-Portweiterleitung eingerichtet ist (was ich grundsätzlich für eine Fehler halte, egal ob es eine Sicherheitslücke gibt oder nicht).

    Anders sieht es natürlich mit Malware aus, die sich per Layer-8 von innen im Netzwerk verbreiten. Aber dann hat man meist noch andere Probleme.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.