[English]Nachdem erste Angriffe von Malware über die BlueKeep-Schwachstelle gesichtet wurden (siehe Windows: Erste BlueKeep-Angriffe gesichtet), verschärfen Microsoft und die australische Regierung ihre Warnungen.
Anzeige
Kurzer Rückblick auf BlueKeep
Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt (siehe BlueKeep-Warnung: Exploit dürfte bald kommen). Es scheint aber, dass die BlueKeep-Schwachstelle in der Praxis nur schwierig ausnutzbar ist. Nur so ist zu erklären, dass es bisher recht ruhig um dieses Thema war, obwohl es einen öffentlich verfügbaren Metasploit gibt (siehe Windows: Bluekeep-Metasploit öffentlich verfügbar).
Letzte Woche hat sich das Bild nun geändert. Sicherheitsforscher Kevin Beaumont hatte nach dem Bekanntwerden der BlueKeep-Schwachstelle und der Verfügbarkeit erster Exploits ein weltweites Netz von Honeypots für die RDP-Schwachstelle aufgesetzt. Samstag berichtete Beaumont darüber, dass seine EternalBlue RDP Honeypot plötzlich BlueScreens zeigten.
Als Sicherheitsforscher sich den Crash-Dump der BlueScreens angesehen haben, wurde klar, dass jemand versucht, die BlueKeep-Schwachstelle auszunutzen. Sicherheitsforscher von MalwareTech bestätigten, dass im Kernel-Dump Spuren eines Metasploits zur Ausnutzung der BlueKeep Schwachstelle (oder zumindest etwas, das darauf basiert) zu finden waren. Es ist wohl der Versuch, über die Schwachstelle einen Crypto-Miner auf den Windows-Maschinen zu installieren. Details hatte ich im Blog-Beitrag Windows: Erste BlueKeep-Angriffe gesichtet zusammen getragen.
Warnung der australischen Behörden
Einem Beitrag auf Bleeping Computer nach warnt das australische Cyber Security Centre (ACSC) der Australian Signals Directorate zusammen mit Partnern aus den Bundesstaaten Unternehmen und Personen vor Bedrohungen durch die Ransomware Emotet und vor Ausnutzung der BlueKeep-Schwachstelle. Beide Bedrohungen seien in der Wildnis aktiv aufgetreten.
Anzeige
Der ACSC hat offenbar die oben erwähnten Erkenntnisse aufgegriffen und fordert die Nutzer zur Wachsamkeit auf. Denn Angreifer hätten begonnen, die die Sicherheitslücke von Windows BlueKeep ausnutzen, um ungepatchte Systeme anzugreifen, und diese mit Coin Minern zu infizieren.
Zu den Emotet-Kampagnen schreibt die ACSC, dass diese im Vergleich zu Ende Oktober in der letzten Woche langsam nachgelassen hätten. Emotet-Kampagnen stellen aber immer noch eine erhebliche Bedrohung für Unternehmen und die breite Öffentlichkeit dar. Weitere Details lassen sich bei Bleeping Computer nachlesen.
Auch Microsoft warnt erneut vor BlueKeep
Die oben berichtete Entdeckung einer Schadsoftware, die Honeypots über die BlueKeep-Schwachstelle mit einem Crypto-Miner infiziert, ist für Microsoft auch ein Weckruf an die Anwender, endlich ihre System zu patchen.
While we currently see only coin miners being dropped, we agree w/ the research community that CVE-2019-0708 (BlueKeep) exploitation can be big. Locate and patch exposed RDP services now. Read our latest blog w/ assist from @GossiTheDog & @MalwareTechBlog https://t.co/y1NgN5WVu8
— Microsoft Security Intelligence (@MsftSecIntel) November 7, 2019
In obigem Tweet weisen die Sicherheitsspezialisten von Microsoft auf die Analyse von MalwareTech zum BlueKeep-Angriff hin und erinnern daran, dass Patches für die RDP-Schwachstelle bereitstehen. Microsoft hat seine Erkenntnisse in diesem Blog-Beitrag zusammen gefasst (Bleeping Computer hat es hier aufgegriffen). Folgende Grafik zeigt die Zunahme der Angriffe auf die BlueKeep-Honeypots.
Figure 1. Increase in RDP-related service crashes when the Metasploit module was released Source: Microsoft
Hintergrund zur BlueKeep-Schwachstelle
Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2. Es gibt zwar einen Patch für die betroffenen Systeme, aber dieser wurde nicht auf allen Systemen installiert.
In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt. Kevin Beaumont schlägt vor, dass Unternehmen alle ungepatchten Systeme (Endpunkte), die direkt im Internet für das Remote Desktop Protocol verfügbar sind, herunterfahren, bis sie gepatcht sind.
Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep: Patch auch für Raubkopien; Risikofaktor SSL-Tunnel
Metasploit für BlueKeep vorhanden, z.Z. noch privat
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar
Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?
BlueKeep-Warnung: Exploit dürfte bald kommen
5 vor 12: Malware mit BlueKeep-Scanner und Exploits
Windows: Bluekeep-Metasploit öffentlich verfügbar
Windows: Erste BlueKeep-Angriffe gesichtet
Anzeige
Die Abhilfe ist bekannt und nicht eben seit gestern.
Was aber viel schlimmer ist: Ich kenne viele REHA Einrichtungen, die meinen, auf einem PC Windows XP Embedded fahren zu müssen, weil sie "Geld sparen müssen".
An solchen Geräten verweigere ich schlicht meinen Dienste!
Weil es Verantwortungslos ist. So mit Daten kranker umzugehen.