[English]Die BlueKeep-Schwachstelle CVE-2019-0708 ist immer noch bei vielen Systemen ungepatcht, wie neue Zahlen zeigen. Zudem warnt die US-Regierung von ungepatchten Windows 2000-Systemen.
Anzeige
Die BlueKeep-Schwachstelle CVE-2019-0708
In den Remote Desktop Services von Windows XP bis Windows 7 ist seit Mai 2019 eine gravierende Sicherheitslücke CVE-2019-0708 bekannt (siehe Beiträge am Artikelende). Ein Angreifer kann sich über spezielle Anfragen per RDP ohne weitere Authentifizierung mit einem Zielsystem verbinden.
Betroffen sind alle Systeme vor Windows 8, wobei es es Updates für Windows XP bis Windows 7 gibt (siehe Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2). Angreifer, die diese Schwachstelle erfolgreich ausgenutzt haben, können beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen.
Wie man Systeme auf Angreifbarkeit durch die Sicherheitslücke CVE-2019-0708 bzw. einen installierten Patch überprüft, habe ich im Blog-Beitrag How To: BlueKeep-Check für Windows skizziert. Also bleibt festzuhalten: Wir haben Sicherheitsupdates, und es gibt Möglichkeiten, zu prüfen, ob diese Updates installiert sind. Das klappt sogar innerhalb eines Netzwerks. Aber die Leute patchen nicht.
Statistik: Patchstand ungenügend
Der nachfolgende Tweet gibt an, dass 83,4% der weltweit erreichbaren Systeme, die per Internet erreichbar und über die BlueKeep-Schwachstelle angreifbar sind, wohl schon Sicherheitsupdates besitzen.
Anzeige
Another update – worldwide update rate for CVE-2019-0708 numbers are up to 83.4%. KEEEEEEP PATCHING! #BlueKeep #MDATP https://t.co/0xyDebfRes
— NotNinjaCat (@RavivTamir) 20. Juni 2019
Geht man durch die Twitter-Meldungen des betreffenden Kontos, sieht man, dass dieser die Zahlen mehrfach, von 57 % über 72,4% auf jetzt 83,4% gestiegen sind. Ich weiß nicht genau, wie die Zahlen ermittelt werden. In den Tweets kommt der Hashtag #MDATP vor.
New kid on the block for the #MDATP suite -Threat and Vulnerability Management. Now available for all preview customers (https://t.co/YadIDVWscF to join the preview).
Check your portal… https://t.co/zfHIXTMYHY— Microsoft Defender ATP (@WindowsATP) 16. April 2019
Ein Hinweis auf die seit April 2019 verfügbare Microsoft Defender ATP-Komponente Threat & Vulnerability Management.
Warnung vor ungepatchten Windows 2000 Systemen
Und es kommt noch dicker: Offenbar sind noch eine signifikanter Maschinen mit Windows 2000 unterwegs. Für diese Clients und Server stellt Microsoft keine Sicherheitsupdates mehr zur Verfügung. Trotzdem scheinen diese Maschinen per Internet erreichbar zu sein, was nur noch als grob fahrlässig einzustufen ist.
Bleeping Computer hat bereits vor einigen Tagen in diesem Artikel darauf hingewiesen, dass das die Cybersecurity and Infrastructure Security Agency (CISA) eine Warnung für Windows-Benutzer veröffentlicht hat. Windows-Nutzer werden dringend angehalten, die kritische RCE-Sicherheitslücke in den Desktop Services (RDS), BlueKeep, zu patchen. Die dem US Homeland Security-Ministerium angegliederte Agentur schreibt, dass es bei Tests erfolgreich Angriffe zur Remote-Code-Ausführung auf einem Computer mit einer verwundbaren Version von Windows 2000 durchführen konnte.
CISA tested BlueKeep against a Windows 2000 machine and achieved remote code execution. Windows OS versions prior to Windows 8 that are not mentioned in this Activity Alert may also be affected; however, CISA has not tested these systems.
Ich hätte ja gesagt, Windows 2000 spielt keine Rolle. Wenn das CISA aber explizit einen Exploit testet und dann warnt, dürfte die Zahl der betroffenen Systeme größer 0 sein.
Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep: Patch auch für Raubkopien; Risikofaktor SSL-Tunnel
Metasploit für BlueKeep vorhanden, z.Z. noch privat
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
Anzeige
Läßt sich Windows 2000 SP4 "inoffiziell" mit dem XP Sicherheitsupdate patchen?
Gehe ich eher nicht von aus.
NT 5.0 vs 5.1
Denke du hast da keine Chance
"Der nachfolgende Tweet gibt an, dass 83,4% der weltweit erreichbaren Systeme, die per Internet erreichbar und über die BlueKeep-Schwachstelle angreifbar sind, noch keine Sicherheitsupdates besitzen."
Da steht in dem Tweet aber genau das Gegenteil, und zwar dass mittlerweile 83,4% aller erreichbaren Systeme das Sicherheitsupdate installiert haben. Das erklärt auch, warum die Zahl steigt und nicht fällt, weil der Patchstand ja immer höher wird.
Danke, war ich zu schnell beim Lesen – hab die Logik korrigiert.
Für Windows 2000 wird sogar noch ein Browser auf Basis der Goanna Engine bereitgestellt.
K-Meleon 74 on Goanna 2.2 (palemoon-26.5) for Win2000 [Build 20180718]
http://kmeleonbrowser.org/forum/read.php?19,146040,page=4
Die letzte offizielle Version von K-Meleon ist von 2015 auf Basis Firefox 31.8 ESR.
Seitdem gibt es nur inoffizielle Versionen, weil das Projekt wohl nur noch von einem Entwickler betreut wird. Wie soll der denn auch alleine einen kompletten Releaseprozess stemmen?