[English]Fast eine Million Systeme mit Windows XP bis Windows 7 sowie den Server-Pendants sind per Internet erreichbar und wegen fehlendem Update per BlueKeep-Schwachstelle angreifbar.
Anzeige
BlueKeep-Schwachstelle: Das Risiko steigt
Die seit dem 14. Mai 2019 bekannte Schwachstelle CVE-2019-0708 könnte sich bald zu einer der größten Sicherheitsbedrohungen für Windows-Systeme seit WannaCry und NotPetya entwickeln. Denn immer noch sind viele Windows-Systeme nicht mit den erforderlichen Sicherheitsupdates versorgt.
Noch ist die Lage 'relativ entspannt', da mir bisher kein öffentlich verfügbarer Exploit bekannt ist, mit dem man die Schwachstelle zur Verbreitung von Malware per Netzwerk ausnutzen könnte. Das ist aber eine Frage der Zeit. Und im Blog-Beitrag Angreifer scannen Windows-Systeme auf BlueKeep-Lücke hatte ich berichtet, dass wohl ein Angreifer schon mal damit begonnen hat, Netzwerke über einen Tor-Knoten nach verwundbaren Windows-Rechnern zu scannen.
Ein erster BlueKeep-Scanner
Sicherheitsforscher Kevin Beaumont hat einen Scanner geschrieben, mit dem man Netzwerksegmente auf die BlueKeep-Schwachstelle testen kann.
Unauthenticated CVE-2019-0708 (RDP RCE) scanner PoC from @JaGoTu and I. Can be automated to check your systems or pad your pentest report this week. @Metasploit port in progress. Submit fixes not tixes.https://t.co/hjsPQdmI2w pic.twitter.com/eOrNm3TRHe
— zǝɹosum0x0 (@zerosum0x0) 22. Mai 2019
Anzeige
Das Ganze ist als Docker-Projekt angelegt und auf GitHub verfügbar. Da ich hier keine Docker-Infrastruktur habe, konnte ich da nichts selbst testen. Aber Kevin Beaumont weist in nachfolgendem Tweet darauf hin, dass die Brisanz zunimmt.
A warning re CVE-2019-0708 aka BlueKeep.
There are significantly higher number of internet accessible devices vulnerable than vulnerable to MS17-010 during WannaCry. I have scan results from back then using @zerosum0x0's scanner (they also wrote the BlueKeep scanner).
— Kevin Beaumont (@GossiTheDog) 28. Mai 2019
Er hat bei Scans eine signifikant höhere Anzahl an Windows-Systemen gefunden, die Anfällig für die BlueKeep-Schwachstelle sind, als seinerzeit bei der EternalBlue-Schwachstelle (MS17-010), die 2017 für den WannaCry-Ransomware-Ausbruch verantwortlich war. Nicht gerade beruhigende Nachrichten.
Eine Million Maschinen ungepatcht
Robert Graham, Leiter des Sicherheitsforschungsunternehmens Errata Security, hat ebenfalls einen Internet-Scan auf die BlueKeep-Schwachstelle durchgeführt. Dafür hat er das Tool masscan benutzt, um erst einmal Maschinen mit Port 3389 (wird von Remote Desktop benutzt) zu finden. Nach einigen Stunden erhielt er 7 Millionen Treffer. Mit weiteren Tools rdpscan hat er diese Liste dann auf Windows-Systeme, die per BlueKeep angreifbar war, getestet. Wie er hier schreibt, kam er auf fast 1 Million ungepatchte Systeme. Konkret sind es wohl rund 950.000 öffentlich im Internet zugängliche Computer, die für den BlueKeep-Bug anfällig sind. The Hacker News hat das Ganze hier aufbereitet.
Da die BlueKeep-Schwachstelle eine Übernahme der Systeme durch einen Angreifer ermöglicht und das Ganze für eine wurmartige-Verbreitung genutzt werden kann, droht wohl Gefahr für Ransomware-Angriffe, die Techniken wie bei NotPetya und WannaCry nutzen. Es ist möglicherweise nur eine Frage der Zeit. Das BSI hatte vor einigen Tagen bereits eine deutliche Warnung ausgesprochen – siehe mein Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows, wo ich auch die verfügbaren Updates verlinkt habe.
Robert Graham geht davon aus, dass Hacker binnen einem oder zwei Monaten einen robusten Exploit entwickeln können, der diese Schwachstelle ausnutzt. Und dann ist mir einem Ausbruch von Malware zu rechnen, der diese 1 Million Rechner befällt. Graham schreibt:
Dies wird wahrscheinlich zu einem Ereignis führen, das so schädlich ist wie WannaCry und notPetya von 2017 – möglicherweise noch schlimmer, da Hacker inzwischen ihre Fähigkeiten verfeinert haben, diese Dinge für Lösegeld und andere Schändlichkeiten zu nutzen.
Es bleibt nur die Option, die Leute auf die Möglichkeit zum Patchen der betroffenen Windows-Systeme hinzuweisen. Denn Microsoft hat am 14. April 2019 entsprechende Updates zum Schließen der Schwachstelle bereitgestellt. Ich hatte im Blog-Beitrag Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows die verfügbaren Updates für die betroffenen Windows-Versionen verlinkt.
Die Schwachstelle CVE-2019-0708
Die Schwachstelle mit der Bezeichnung CVE-2019-0708 besteht in den Remote Desktop Services – früher bekannt als Terminal Services – von Windows. Ein nicht authentifizierter Angreifer kann sich über spezielle Anfragen über RDP mit einem Zielsystem verbinde. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.
Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 veröffentlichte Microsoft ein Sicherheitsupdate für ältere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schließt (siehe Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 und WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows, wo die Updates verlinkt sind).
Ähnliche Artikel:
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
Anzeige
Warum ist dieser RemoteDesktop-Dienst auch standardmäßig aktiviert? Da hat Windows mal wieder eine Sicherheitslücke serienmäßig mitgeliefert.
Die Mehrheit der Nutzer braucht ihn doch nie und weiß nicht mal, dass es ihn gibt. Wer hingegen damit umzugehen weiß, kann ihn ja bei Bedarf selbst aktivieren.
Bei der Gelegenheit: Der RemoteRegistry-Dienst erscheint auch wie ein wandelndes Scheunentor.
Deaktivieren und wohlfühlen, oder?
Ich seh da kein Fehler von MS sondern höchstens vom Anwender. Wer ein Windows Server im offenen Internet betreibt wird RDP aktiv offen gelassen haben und sich darauf zu verbinden. Und ein Desktop PC oder Server aus dem Heim-/Firmennetzwerk muss erst aktiv per Portweiterleitung geroutet werden damit er aus dem Internet erreichbar ist.
Kann man machen, dann muss man aber auch mit den Konsequenzen rechnen wenn man das System nicht aktuell hält.
Tach Herr Born:
im ersten Satz ist wohl Win 8.1. versehentlich in die Aufzählung ("…Systeme mit … Windows 8.1 … per Internet erreichbar und wegen fehlendem Update per BlueKeep-Schwachstelle angreifbar") reingerutscht:
Windows 8.1. ist doch hiervon gar nicht betroffen
Danke, war etwas spät die Nacht – hab die Sache auf die Füße gestellt. Leserkorrektur funktioniert immer – Gott sei Dank.