BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie

Altes Thema zum Wochenende nochmals hochgespült. Auch Microsoft warnt nun vor der Gefahr, dass sich durch die kritische Remote Desktop Services Schwachstelle CVE-2019-0708 bald ein größerer Malwareausbruch auf bis zu einer Million Windows-Rechnern droht.


Anzeige

Worum geht es bei CVE-2019-0708?

Es ist im Grund kein neues Thema, sondern seit dem 14. Mai 2019 bekannt. In den Remote Desktop Services von Windows XP bis Windows 7 wurde seit diesem Datum eine gravierende Sicherheitslücke bekannt. Ein Angreifer kann sich über spezielle Anfragen per RDP ohne weitere Authentifizierung mit einem Zielsystem verbinden.

Und es kommt noch schlimmer: Angreifer, die diese Schwachstelle erfolgreich ausgenutzt haben, können beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen.

Man kann es auch plastisch ausdrücken: Betroffene Windows-Rechner standen seit Jahren über diese Schwachstelle offen wie ein Scheunentor. Nur weil niemand das Scheunentor gesehen hat, kam es nicht zu einer Katastrophe in Form eines Malware-Ausbruchs, der weltweit Millionen System befiel. Diese kritische Schwachstelle existiert von Windows XP bis Windows 7, samt den betreffenden Windows Server-Versionen. Erst ab Windows 8 ist die Schwachstelle nicht mehr vorhanden.

Warum ist die Schwachstelle so gefährlich?

Eine Schwachstelle, die einen Remote-Zugriff auf beliebige Rechner ohne Angabe von Benutzernamen und Kennwort ermöglicht und die Übernahme eines Systems durch den Angreifer erlaubt, ist quasi die Büchse der Pandora. Ein Angreifer kann das Internet nach verwundbaren Windows-Systemen scannen. Findet es einige dieser Systeme, dringt er in diese ein und installiert eine Malware mit einer Wurm-Komponente. Die infizierten Rechner beginnen dann ihrerseits nach weiteren verwundbaren Windows-Systemen zu suchen. Werden solche Systeme gefunden, lassen sich diese ebenfalls infizieren und der Vorgang setzt sich fort.


Anzeige

Das führt zu einer Kettenreaktion, da binnen kurzer Zeit alle über Internet erreichbaren Rechner mit der Schwachstelle infizierbar sind. Dieser Mechanismus wurde bei den Ransomware-Ausbrüchen WannaCry und NotPetya von den Angreifern genutzt. Am Ende des Tages waren Hunderttausende bis Millionen Rechner infiziert. Dort wurden bekannte Schwachstellen (EnternalBlue) in Windows-Systemen zur Verbreitung ausgenutzt. Die Infektionen konnten nur durch Programmierfehler bzw. einen sogenannten Killswitch in der Malware gestoppt werden. Trotzdem gab es Millionen Schäden durch die Infektionen – und in der Folgezeit kam es immer mal wieder zu erneuten Ausbrüchen, die ganze Produktionen (z.B. von Mercedes Benz, oder TMC) lahm legten (siehe Links am Artikelende).

Das Tragische an diesen Ausbrüchen: Es standen einen Monat vor dem ersten Ausbruch Sicherheitspatches von Microsoft bereit, um die EternalBlue-Schwachstelle zu schließen. Alleine, es gab Millionen Windows-Systeme, die zwar am Netz hingen, aber keine Updates erhielten. War ein Rechner infiziert, konnten selbst gepatchte Systeme über interne Firmennetzwerke mittels anderer Methoden angegriffen werden.

Es gibt Sicherheitsupdates!

Microsoft hat zum 14. Mai 2018 Sicherheitsupdates für Windows XP bis Windows 7 zum Schließen der Schwachstelle CVE-2019-0708 bereitgestellt und in diesem Blog-Beitrag auf die Schwachstelle hingewiesen. Ich hatte im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 über diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI), die eine ähnliche Gefahr wie bei der Schwachstelle, die für den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows thematisiert. Dort habe ich auch die benötigten Updates zum Patchen der Schwachstelle verlinkt. Von Microsoft wurde zudem der Kundenleitfaden für CVE-2019-0708 | Sicherheitsanfälligkeit in Remotedesktopdienste bezüglich Remotecodeausführung: 14. Mai 2019 mit Details zu den Updates veröffentlicht.

Die Leute patchen nicht

Bei der BlueKeep genannten Schwachstelle liegt jetzt das gleiche Szenario vor. Seit einigen Tagen sind Sicherheitsforschern Exploits zum Ausnutzen dieser Sicherheitslücke bekannt. Andererseits gibt es immer noch Anwender, die diese Sicherheitspatches nicht installiert haben, und deren Rechner ungeschützt per Internet erreichbar sind.

Mehrere Sicherheitsforscher haben Scanner entwickelt, mit denen man Netzwerke (auch per Internet) auf verwundbare Rechner überprüfen kann. Unter anderem hat eine Analyse des Security-Experten Robert Graham ergeben, dass fast eine Million verwundbarer Windows-Systeme per Internet erreichbar sind. Ich hatte die Tage im Blog-Beitrag Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar darüber berichtet.

Es ist zum Haare raufen: Es gibt eine gravierende Sicherheitslücke, es gibt einen Patch, der kostenlos erhältlich ist, und die Leute mit ihren verwundbaren Rechnern patchen einfach nicht. Es ist nur eine Frage der Zeit, bis es Cyber-Kriminellen gelingt, einen Exploit zum Ausnutzen der BlueKeep-Schwachstelle zu entwickeln. Dann dürfte es zu einer neuen Infektionswelle dieser Systeme mit Malware kommen, die sich wurmartig ausbreiten wird. Am Ende des Tages wird man wieder Millionen Schäden verbuchen. Angesichts dieser Bedrohungslage mahnt Microsoft in einem Technet-Blog-Beitrag erneut die Installation der betreffenden Sicherheitsupdates an, wie heise hier berichtet.

Was ich in diesem Zusammenhang allerdings kritisiere: Eigentlich hätte ich mir von Microsoft ein Tool in Form eines BlueKeep-Scanners gewünscht. Dieses unter Windows ausgeführt, teilt dem Benutzer mit, ob er durch die Schwachstelle gefährdet oder ob die Sicherheitslücke CVE-2019-0708 geschlossen ist. Bisher ist mir aber nichts in dieser Art bekannt.

Ähnliche Artikel:
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows

Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry hat bei Chiphersteller TSMC zugeschlagen …
WannaCry: Die Gefahr ist noch nicht gebannt
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing
WannaCry-Infektionen bei Daimler?
WannaCry: Die Gefahr ist noch nicht gebannt
Nachtlektüre: NotPetya-Infektion bei A.P. Møller-Maersk
Die Folgen des NotPetya-Angriffs für Maersk


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie

  1. Dietmar sagt:

    Äääähm – ohne jetzt den gesamten Beitrag gelesen zu haben muss ich doch schon bemerken dass Benutzer aber schon selber schuld sind wenn sie ohne Firewall in einem Netzwerk oder gar dem Internet hängen bzw. RDP explizit freigegeben haben (mir fällt gerade kein einziger Grund ein warum man das tun sollte – auch nicht für „Fremdhilfe")

    • HV sagt:

      Da braucht es keinen Grund! Viele denken einfach nicht darüber nach was sie da eigentlich tun oder fabrizieren… Und so nimmt das Unheil halt dann seinen Lauf…

  2. RUTZ-AhA sagt:

    Ich denke mir, die breite Masse nutzt den Rechner mit Windows Betriebssystem doch so, wie er vom Gerätelieferanten vorinstalliert wurde.
    Damit steht alles Wichtige auf "automatisch" und somit sind alle Updates auf dem Rechner.

    Nur Admins in Unternehmen händeln das anders. Und die sollten wissen, was sie tun.

  3. Christian59 sagt:

    ….hmmm, tja, ich möcht' ja nicht wissen, wieviele Sicherheitslöcher
    jetzt schon so in Windows10 herumschwirren, welche dann erst
    in einigen Jahren entdeckt werden…

    Schönes Wochenende!
    Christian

  4. Hans Thölen sagt:

    Bei chip.de wird KB4499175 als Patch gegen diese Sicherheitslücke angeboten.
    Bei mir ist KB4499164 installiert. Ist damit auch KB4499175 bei mir installiert ?

    • Günter Born sagt:

      Ja – wer meine Blog-Beiträge zu den Mai 2019 Updates verfolgt und eines der Updates installiert hat, ist geschützt.

      • Hans Thölen sagt:

        Vielen Dank für Deine Antwort.
        Soeben habe ich Deine Blogbeiträge zu diesem Problem noch
        einmal durchgelesen. Alles klar, jetzt weiß ich Bescheid.
        Ich habe auch noch zur Sicherheit die Remoteunterstützung
        bei mir deaktiviert. Das ist eine zusätzliche Schutzmaßnahme.

  5. Roland Moser sagt:

    Verschwörungsthese:
    Ein Teil der ungepatchten PCs ist Teil einer Cyber-Armee, welche den Gegner infiltriert hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.