{"id":222400,"date":"2019-09-07T00:04:00","date_gmt":"2019-09-06T22:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=222400"},"modified":"2024-10-04T11:19:25","modified_gmt":"2024-10-04T09:19:25","slug":"windows-bluekeep-metasploit-ffentlich-verfgbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/09\/07\/windows-bluekeep-metasploit-ffentlich-verfgbar\/","title":{"rendered":"Windows: Bluekeep-Metasploit &ouml;ffentlich verf&uuml;gbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/09\/07\/windows-bluekeep-metasploit-ffentlich-verfgbar\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Tag, auf den die Software-Hersteller und Sicherheitsforscher seit Monaten gewartet haben, ist da. Ein Metasploid f\u00fcr die Bluekeep-Schwachstelle in Windows ist \u00f6ffentlich verf\u00fcgbar.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/e514df7ebc444c2f9436c3378b593c3f\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt und t\u00e4glich auf einen Exploit gewartet (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/23\/bluekeep-warnung-exploit-drfte-bald-kommen\/\">BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a>). Nun ist es offenbar passiert, wie man nachfolgendem Tweet entnehmen kann.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Exploit for wormable Bluekeep Windows bug released into the wild <a href=\"https:\/\/t.co\/1mCiPR5ZeF\">https:\/\/t.co\/1mCiPR5ZeF<\/a> by <a href=\"https:\/\/twitter.com\/dangoodin001?ref_src=twsrc%5Etfw\">@dangoodin001<\/a><\/p>\n<p>\u2014 Ars Technica (@arstechnica) <a href=\"https:\/\/twitter.com\/arstechnica\/status\/1170032422513233922?ref_src=twsrc%5Etfw\">September 6, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Exploit ist 'wurmartig', d.h. die Infektion eines Computers reicht, um die Malware \u00fcber das Netzwerk zu verbreiten. Einige Informationen sind zudem bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/public-bluekeep-exploit-module-released-by-metasploit\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer abrufbar<\/a>.<\/p>\n<h2>Work of Programm auf GitHub<\/h2>\n<p>Auf <a href=\"https:\/\/github.com\/rapid7\/metasploit-framework\/pull\/12283\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub<\/a> wurde der Code f\u00fcr einen BlueKeep-Exploit als 'Work in Progress' ver\u00f6ffentlicht. Der Exploit nutzt die Schwachstelle CVE-2019-0708, alias BlueKeep, \u00fcber RDP im Windows-Kernel aus. Der Autor des Exploits schreibt, dass der RDP Treiber <em>termdd.sys<\/em> Bindungen an den internen Kanal MS_T120 unsachgem\u00e4\u00df behandelt. Dadurch kann eine fehlerhafte Disconnect Provider Indication-Nachricht einen use-after-free-Fehler ausl\u00f6sen. Mit einem steuerbaren Data\/Size Remote nonpaged Pool Spray wird ein indirektes Call-Gadget des freigegebenen Kanals verwendet, um eine beliebige Codeausf\u00fchrung zu erreichen.<\/p>\n<p>Das Modul funktioniert derzeit mit 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2. F\u00fcr Windows Server 2008 R2 muss allerdings ein Registrierungseintrag ge\u00e4ndert werden, um das Heap Grooming \u00fcber den RDPSND-Kanal zu erm\u00f6glichen. Der Autor schreibt, dass es noch andere M\u00f6glichkeiten gibt, um alternative Kan\u00e4le zu verwenden, die standardm\u00e4\u00dfig auf allen Windows-Betriebssystemen aktiviert sind.<\/p>\n<p>Das Modul wird derzeit als manuell eingestuft, da der Benutzer zus\u00e4tzliche Zielinformationen eingeben muss. Andernfalls besteht die Gefahr, dass der Zielhost abst\u00fcrzt. Das Modul implementiert eine standardm\u00e4\u00dfige TARGET-Option, die nur nach einem anf\u00e4lligen Host sucht und einige erste Informationen \u00fcber das spezifische Zielbetriebssystem anzeigt. F\u00fcr einen Angriff muss der Benutzer aber ein genaueres Ziel angeben. Sp\u00e4tere bis weitere Verbesserungen in diesem Modul k\u00f6nnten eine genauere Bestimmung des Speicherlayouts des Zielsystems zur Laufzeit erm\u00f6glichen.<\/p>\n<h4>Hintergrund zur BlueKeep-Schwachstelle<\/h4>\n<p>\u00dcber die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beitr\u00e4gen berichtet. Eine Erkl\u00e4rung zur Schwachstellen findet sich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a>.<\/p>\n<p>Es gibt zwar einen Patch, aber dieser wurde nicht in allen Systemen installiert. Aktuell sch\u00e4tzt man, dass noch ca. 800.000 Systeme ungepatcht betrieben werden und per Internet erreichbar sind (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/22\/windows-wie-stehts-um-die-bluekeep-schwachstelle-im-juli-2019\/\">Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?<\/a> ).<\/p>\n<p>In meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">How To: BlueKeep-Check f\u00fcr Windows<\/a> habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen l\u00e4sst.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">How To: BlueKeep-Check f\u00fcr Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/27\/angreifer-scannen-windows-systeme-auf-bluekeep-lcke\/\">Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/29\/fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar\/\">Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/\">BlueKeep: Patch auch f\u00fcr Raubkopien; Risikofaktor SSL-Tunnel<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/metasploit-fr-bluekeep-vorhanden-z-z-noch-privat\/\">Metasploit f\u00fcr BlueKeep vorhanden, z.Z. noch privat<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/31\/bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie\/\">BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/21\/bluekeep-patch-stand-mangelhaft-windows-2000-angreifbar\/\">BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/22\/windows-wie-stehts-um-die-bluekeep-schwachstelle-im-juli-2019\/\">Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/23\/bluekeep-warnung-exploit-drfte-bald-kommen\/\">BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20190726134042\/https:\/\/borncity.com\/blog\/2019\/07\/25\/5-vor-12-malware-mit-bluekeep-scanner-und-exploits\/\">5 vor 12: Malware mit BlueKeep-Scanner und Exploits<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Tag, auf den die Software-Hersteller und Sicherheitsforscher seit Monaten gewartet haben, ist da. Ein Metasploid f\u00fcr die Bluekeep-Schwachstelle in Windows ist \u00f6ffentlich verf\u00fcgbar.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7602,4328,4325],"class_list":["post-222400","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-bluekeep","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222400"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222400\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}