{"id":218660,"date":"2019-05-31T20:11:52","date_gmt":"2019-05-31T18:11:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218660"},"modified":"2023-02-15T22:43:50","modified_gmt":"2023-02-15T21:43:50","slug":"bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/31\/bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie\/","title":{"rendered":"BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie"},"content":{"rendered":"

Altes Thema zum Wochenende nochmals hochgesp\u00fclt. Auch Microsoft warnt<\/a> nun vor der Gefahr, dass sich durch die kritische Remote Desktop Services Schwachstelle CVE-2019-0708 bald ein gr\u00f6\u00dferer Malwareausbruch auf bis zu einer Million Windows-Rechnern droht. <\/p>\n

<\/p>\n

Worum geht es bei CVE-2019-0708?<\/h2>\n

\"\"Es ist im Grund kein neues Thema, sondern seit dem 14. Mai 2019 bekannt. In den Remote Desktop Services von Windows XP bis Windows 7 wurde seit diesem Datum eine gravierende Sicherheitsl\u00fccke bekannt. Ein Angreifer kann sich \u00fcber spezielle Anfragen per RDP ohne weitere Authentifizierung mit einem Zielsystem verbinden. <\/p>\n

Und es kommt noch schlimmer: Angreifer, die diese Schwachstelle erfolgreich ausgenutzt haben, k\u00f6nnen beliebigen Code auf dem Zielsystem ausf\u00fchren. Dazu geh\u00f6rt auch, Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder zu l\u00f6schen sowie neue Konten mit vollen Benutzerrechten zu erstellen. <\/p>\n

Man kann es auch plastisch ausdr\u00fccken: Betroffene Windows-Rechner standen seit Jahren \u00fcber diese Schwachstelle offen wie ein Scheunentor. Nur weil niemand das Scheunentor gesehen hat, kam es nicht zu einer Katastrophe in Form eines Malware-Ausbruchs, der weltweit Millionen System befiel. Diese kritische Schwachstelle existiert von Windows XP bis Windows 7, samt den betreffenden Windows Server-Versionen. Erst ab Windows 8 ist die Schwachstelle nicht mehr vorhanden. <\/p>\n

Warum ist die Schwachstelle so gef\u00e4hrlich?<\/h2>\n

Eine Schwachstelle, die einen Remote-Zugriff auf beliebige Rechner ohne Angabe von Benutzernamen und Kennwort erm\u00f6glicht und die \u00dcbernahme eines Systems durch den Angreifer erlaubt, ist quasi die B\u00fcchse der Pandora. Ein Angreifer kann das Internet nach verwundbaren Windows-Systemen scannen. Findet es einige dieser Systeme, dringt er in diese ein und installiert eine Malware mit einer Wurm-Komponente. Die infizierten Rechner beginnen dann ihrerseits nach weiteren verwundbaren Windows-Systemen zu suchen. Werden solche Systeme gefunden, lassen sich diese ebenfalls infizieren und der Vorgang setzt sich fort. <\/p>\n

Das f\u00fchrt zu einer Kettenreaktion, da binnen kurzer Zeit alle \u00fcber Internet erreichbaren Rechner mit der Schwachstelle infizierbar sind. Dieser Mechanismus wurde bei den Ransomware-Ausbr\u00fcchen WannaCry und NotPetya von den Angreifern genutzt. Am Ende des Tages waren Hunderttausende bis Millionen Rechner infiziert. Dort wurden bekannte Schwachstellen (EnternalBlue) in Windows-Systemen zur Verbreitung ausgenutzt. Die Infektionen konnten nur durch Programmierfehler bzw. einen sogenannten Killswitch in der Malware gestoppt werden. Trotzdem gab es Millionen Sch\u00e4den durch die Infektionen \u2013 und in der Folgezeit kam es immer mal wieder zu erneuten Ausbr\u00fcchen, die ganze Produktionen (z.B. von Mercedes Benz, oder TMC) lahm legten (siehe Links am Artikelende). <\/p>\n

Das Tragische an diesen Ausbr\u00fcchen: Es standen einen Monat vor dem ersten Ausbruch Sicherheitspatches von Microsoft bereit, um die EternalBlue-Schwachstelle zu schlie\u00dfen. Alleine, es gab Millionen Windows-Systeme, die zwar am Netz hingen, aber keine Updates erhielten. War ein Rechner infiziert, konnten selbst gepatchte Systeme \u00fcber interne Firmennetzwerke mittels anderer Methoden angegriffen werden.<\/p>\n

Es gibt Sicherheitsupdates!<\/h2>\n

Microsoft hat zum 14. Mai 2018 Sicherheitsupdates f\u00fcr Windows XP bis Windows 7 zum Schlie\u00dfen der Schwachstelle CVE-2019-0708<\/a> bereitgestellt und in diesem Blog-Beitrag<\/a> auf die Schwachstelle hingewiesen. Ich hatte im Blog-Beitrag Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a> \u00fcber diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI), die eine \u00e4hnliche Gefahr wie bei der Schwachstelle, die f\u00fcr den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a> thematisiert. Dort habe ich auch die ben\u00f6tigten Updates zum Patchen der Schwachstelle verlinkt. Von Microsoft wurde zudem der Kundenleitfaden f\u00fcr CVE-2019-0708 | Sicherheitsanf\u00e4lligkeit in Remotedesktopdienste bez\u00fcglich Remotecodeausf\u00fchrung: 14. Mai 2019<\/a> mit Details zu den Updates ver\u00f6ffentlicht. <\/p>\n

Die Leute patchen nicht<\/h2>\n

Bei der BlueKeep genannten Schwachstelle liegt jetzt das gleiche Szenario vor. Seit einigen Tagen sind Sicherheitsforschern Exploits zum Ausnutzen dieser Sicherheitsl\u00fccke bekannt. Andererseits gibt es immer noch Anwender, die diese Sicherheitspatches nicht installiert haben, und deren Rechner ungesch\u00fctzt per Internet erreichbar sind. <\/p>\n

Mehrere Sicherheitsforscher haben Scanner entwickelt, mit denen man Netzwerke (auch per Internet) auf verwundbare Rechner \u00fcberpr\u00fcfen kann. Unter anderem hat eine Analyse des Security-Experten Robert Graham ergeben, dass fast eine Million verwundbarer Windows-Systeme per Internet erreichbar sind. Ich hatte die Tage im Blog-Beitrag Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a> dar\u00fcber berichtet. <\/p>\n

Es ist zum Haare raufen: Es gibt eine gravierende Sicherheitsl\u00fccke, es gibt einen Patch, der kostenlos erh\u00e4ltlich ist, und die Leute mit ihren verwundbaren Rechnern patchen einfach nicht. Es ist nur eine Frage der Zeit, bis es Cyber-Kriminellen gelingt, einen Exploit zum Ausnutzen der BlueKeep-Schwachstelle zu entwickeln. Dann d\u00fcrfte es zu einer neuen Infektionswelle dieser Systeme mit Malware kommen, die sich wurmartig ausbreiten wird. Am Ende des Tages wird man wieder Millionen Sch\u00e4den verbuchen. Angesichts dieser Bedrohungslage mahnt Microsoft in einem Technet-Blog-Beitrag erneut<\/a> die Installation der betreffenden Sicherheitsupdates an, wie heise hier berichtet<\/a>. <\/p>\n

Was ich in diesem Zusammenhang allerdings kritisiere: Eigentlich h\u00e4tte ich mir von Microsoft ein Tool in Form eines BlueKeep-Scanners gew\u00fcnscht. Dieses unter Windows ausgef\u00fchrt, teilt dem Benutzer mit, ob er durch die Schwachstelle gef\u00e4hrdet oder ob die Sicherheitsl\u00fccke CVE-2019-0708 geschlossen ist. Bisher ist mir aber nichts in dieser Art bekannt. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a>
Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a>
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a>
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a>
Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a>
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><\/p>\n

Ransomware WannaCry bef\u00e4llt tausende Computer weltweit<\/a>
Malwarebytes-Analyse: Wie sich WannaCry verbreitete<\/a>
WannaCrypt: Updates f\u00fcr Windows XP, Server 2003 & Co.<\/a>
WannaCry: Neue Versionen und mehr Neuigkeiten<\/a>
WannaCry: Die Lage am Montag<\/a>
WannaCry: Meist ungepatchte Windows 7 Systeme befallen<\/a>
WannaCry hat bei Chiphersteller TSMC zugeschlagen \u2026<\/a>
WannaCry: Die Gefahr ist noch nicht gebannt<\/a>
Vermutlich WannaCry Ransomeware-Ausbruch bei Boeing<\/a>
WannaCry-Infektionen bei Daimler?<\/a>
WannaCry: Die Gefahr ist noch nicht gebannt<\/a>
Nachtlekt\u00fcre: NotPetya-Infektion bei A.P. M\u00f8ller-Maersk<\/a>
Die Folgen des NotPetya-Angriffs f\u00fcr Maersk<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Altes Thema zum Wochenende nochmals hochgesp\u00fclt. Auch Microsoft warnt nun vor der Gefahr, dass sich durch die kritische Remote Desktop Services Schwachstelle CVE-2019-0708 bald ein gr\u00f6\u00dferer Malwareausbruch auf bis zu einer Million Windows-Rechnern droht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,3740,4325],"class_list":["post-218660","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-virus","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218660"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218660\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}