[English]Der Tag, auf den die Software-Hersteller und Sicherheitsforscher seit Monaten gewartet haben, ist da. Ein Metasploid für die Bluekeep-Schwachstelle in Windows ist öffentlich verfügbar.
Anzeige
Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt und täglich auf einen Exploit gewartet (siehe BlueKeep-Warnung: Exploit dürfte bald kommen). Nun ist es offenbar passiert, wie man nachfolgendem Tweet entnehmen kann.
Exploit for wormable Bluekeep Windows bug released into the wild https://t.co/1mCiPR5ZeF by @dangoodin001
— Ars Technica (@arstechnica) September 6, 2019
Der Exploit ist 'wurmartig', d.h. die Infektion eines Computers reicht, um die Malware über das Netzwerk zu verbreiten. Einige Informationen sind zudem bei Bleeping Computer abrufbar.
Work of Programm auf GitHub
Auf GitHub wurde der Code für einen BlueKeep-Exploit als 'Work in Progress' veröffentlicht. Der Exploit nutzt die Schwachstelle CVE-2019-0708, alias BlueKeep, über RDP im Windows-Kernel aus. Der Autor des Exploits schreibt, dass der RDP Treiber termdd.sys Bindungen an den internen Kanal MS_T120 unsachgemäß behandelt. Dadurch kann eine fehlerhafte Disconnect Provider Indication-Nachricht einen use-after-free-Fehler auslösen. Mit einem steuerbaren Data/Size Remote nonpaged Pool Spray wird ein indirektes Call-Gadget des freigegebenen Kanals verwendet, um eine beliebige Codeausführung zu erreichen.
Anzeige
Das Modul funktioniert derzeit mit 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2. Für Windows Server 2008 R2 muss allerdings ein Registrierungseintrag geändert werden, um das Heap Grooming über den RDPSND-Kanal zu ermöglichen. Der Autor schreibt, dass es noch andere Möglichkeiten gibt, um alternative Kanäle zu verwenden, die standardmäßig auf allen Windows-Betriebssystemen aktiviert sind.
Das Modul wird derzeit als manuell eingestuft, da der Benutzer zusätzliche Zielinformationen eingeben muss. Andernfalls besteht die Gefahr, dass der Zielhost abstürzt. Das Modul implementiert eine standardmäßige TARGET-Option, die nur nach einem anfälligen Host sucht und einige erste Informationen über das spezifische Zielbetriebssystem anzeigt. Für einen Angriff muss der Benutzer aber ein genaueres Ziel angeben. Spätere bis weitere Verbesserungen in diesem Modul könnten eine genauere Bestimmung des Speicherlayouts des Zielsystems zur Laufzeit ermöglichen.
Hintergrund zur BlueKeep-Schwachstelle
Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2.
Es gibt zwar einen Patch, aber dieser wurde nicht in allen Systemen installiert. Aktuell schätzt man, dass noch ca. 800.000 Systeme ungepatcht betrieben werden und per Internet erreichbar sind (siehe Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019? ).
In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt.
Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep: Patch auch für Raubkopien; Risikofaktor SSL-Tunnel
Metasploit für BlueKeep vorhanden, z.Z. noch privat
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar
Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?
BlueKeep-Warnung: Exploit dürfte bald kommen
5 vor 12: Malware mit BlueKeep-Scanner und Exploits
Anzeige