{"id":224561,"date":"2019-11-04T10:49:22","date_gmt":"2019-11-04T09:49:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224561"},"modified":"2024-10-04T11:19:25","modified_gmt":"2024-10-04T09:19:25","slug":"windows-erste-bluekeep-angriffe-gesichtet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/04\/windows-erste-bluekeep-angriffe-gesichtet\/","title":{"rendered":"Windows: Erste BlueKeep-Angriffe gesichtet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/11\/04\/windows-first-bluekeep-metasploit-in-the-wild\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Sicherheitsforschern ist jetzt wohl erstmals eine Malware ins Netz gegangen, die die BlueKeep-Schwachstelle ausnutzen will, um Crypto-Miner zu installieren. Aktuell f\u00fchrt die aber wohl noch zu BlueScreens.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/65a9bf67027d461f8afb710caf28823c\" alt=\"\" width=\"1\" height=\"1\" \/>Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/07\/23\/bluekeep-warnung-exploit-drfte-bald-kommen\/\">BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a>). Es scheint aber, dass die BlueKeep-Schwachstelle in der Praxis nur schwierig ausnutzbar ist. Nur so ist zu erkl\u00e4ren, dass es bisher recht ruhig um dieses Thema war, obwohl es einen \u00f6ffentlich verf\u00fcgbaren Metasploit gibt (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/09\/07\/windows-bluekeep-metasploit-ffentlich-verfgbar\/\">Windows: Bluekeep-Metasploit \u00f6ffentlich verf\u00fcgbar<\/a>). Aber das k\u00f6nnte sich nun \u00e4ndern.<\/p>\n<h2>HoneyPot wirft pl\u00f6tzlich BlueScreens<\/h2>\n<p>Ich hatte es zum Wochenende bereits gesehen, komme aber erst jetzt dazu, das etwas aufzubereiten. Sicherheitsforscher Kevin Beaumont hatte nach dem Bekanntwerden der BlueKeep-Schwachstelle und der Verf\u00fcgbarkeit erster Exploits ein weltweites Netz von Honeypots f\u00fcr die RDP-Schwachstelle aufgesetzt. Samstag berichtete Beaumont dar\u00fcber, dass seine EternalBlue RDP Honeypot pl\u00f6tzlich BlueScreens zeigten.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">huh, the EternalPot RDP honeypots have all started BSOD'ing recently. They only expose port 3389. <a href=\"https:\/\/t.co\/VdiKoqAwkr\">pic.twitter.com\/VdiKoqAwkr<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1190654984553205761?ref_src=twsrc%5Etfw\">November 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Konkret trat der erste BluesScreen mit Neustart bereits am 23. Oktober 2019 auf. In den letzten Wochen gab es dann bei weiteren Honeypots diese BlueScreens. Der Verdacht war, dass da jemand versucht, die BlueKeep-Schwachstelle auszunutzen. In einem weiteren Tweet war aber schnell klar, dass es sich wohl eher nicht um einen Wurm handelt, der den Honeypot angegriffen hat. Laut Beaumont gab es wohl an verschiedenen Honeypots lediglich BlueScreens. Hier ein Post von ihm:<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">imma retrieving the crash logs to see if anything interesting <a href=\"https:\/\/t.co\/sEoMV37RG7\">pic.twitter.com\/sEoMV37RG7<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1190658692145983488?ref_src=twsrc%5Etfw\">November 2, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Am 2. November 2019 hat er dann seine Rechnung f\u00fcr die gebuchten Microsoft Azure-Dienste bekommen und sich die Details des Azure Sentinel zur Log-Analyse angesehen.<\/p>\n<p><a href=\"https:\/\/miro.medium.com\/max\/1587\/1*2zjaTlwwX4TaZ64LILRKcw.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Azure Sentinel\" src=\"https:\/\/miro.medium.com\/max\/1587\/1*2zjaTlwwX4TaZ64LILRKcw.png\" alt=\"Azure Sentinel\" width=\"630\" height=\"285\" \/><\/a><br \/>\n(Azure Sentinel, Quelle: Kevin Beaumont)<\/p>\n<p>Seit dem 22.\/23. Oktober traten wohl Probleme (BSOD) bei den betroffenen Azure-Instanzen auf. Dann haben Sicherheitsforscher sich den Crash-Dump der BlueScreens angesehen \u2013 eine Analyse <a href=\"https:\/\/www.kryptoslogic.com\/blog\/2019\/11\/bluekeep-cve-2019-0708-exploitation-spotted-in-the-wild\/\" target=\"_blank\" rel=\"noopener noreferrer\">findet sich hier<\/a>. Sicherheitsforscher von MalwareTech best\u00e4tigten, dass im Kernel-Dump Spuren eines Metasploits zur Ausnutzung der BlueKeep Schwachstelle (oder zumindest etwas, das darauf basiert) zu finden waren. Es ist wohl der Versuch, \u00fcber die Schwachstelle einen Crypto-Miner auf den Windows-Maschinen zu installieren. Beaumont hat das Ganze nun in <a href=\"https:\/\/doublepulsar.com\/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6\" target=\"_blank\" rel=\"noopener noreferrer\">einem Artikel<\/a> zusammen gefasst.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Here's a writeup of the BlueKeep exploitation activity investigated this weekend <a href=\"https:\/\/t.co\/q1ne8uuyai\">https:\/\/t.co\/q1ne8uuyai<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1190967736593240065?ref_src=twsrc%5Etfw\">November 3, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Aktuell sind die Auswirkungen noch begrenzt: Es ist kein Wurm, der sich selbst verbreitet und der Ansatz, einen Crypto-Miner auf die Maschinen zu schleusen, ist zwar unsch\u00f6n, aber keine gr\u00f6\u00dfere Bedrohung. Die Schlussfolgerung aus diesen Angriffen ist aber, dass es Leute gibt, die jetzt verstehen, wie man Angriffe per BlueKeep-Schwachstelle auf zuf\u00e4llige Ziele ausf\u00fchrt. Gut m\u00f6glich, dass die Angriffe bald ausgefeilter werden. Weitere Artikel (English) sind bei <a href=\"https:\/\/www.wired.com\/story\/bluekeep-hacking-cryptocurrency-mining\/\" target=\"_blank\" rel=\"noopener noreferrer\">Wired<\/a>, <a href=\"https:\/\/thehackernews.com\/2019\/11\/bluekeep-rdp-vulnerability.html\" target=\"_blank\" rel=\"noopener noreferrer\">The Hacker News<\/a> oder <a href=\"https:\/\/thehackernews.com\/2019\/11\/bluekeep-rdp-vulnerability.html\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet<\/a> zu finden.<\/p>\n<h2>Hintergrund zur BlueKeep-Schwachstelle<\/h2>\n<p>\u00dcber die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beitr\u00e4gen berichtet. Eine Erkl\u00e4rung zur Schwachstellen findet sich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a>. Es gibt zwar einen Patch f\u00fcr die betroffenen Systeme, aber dieser wurde nicht auf allen Systemen installiert.<\/p>\n<p>In meinem Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">How To: BlueKeep-Check f\u00fcr Windows<\/a> habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen l\u00e4sst. Kevin Beaumont schl\u00e4gt vor, dass Unternehmen alle ungepatchten Systeme (Endpunkte), die direkt im Internet f\u00fcr das Remote Desktop Protocol verf\u00fcgbar sind, herunterfahren, bis sie gepatcht sind.<\/p>\n<blockquote><p>Erg\u00e4nzung: Eine Analyse, wie die Angreifer vorgehen, findet sich inzwischen hier.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">How To: BlueKeep-Check f\u00fcr Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/27\/angreifer-scannen-windows-systeme-auf-bluekeep-lcke\/\">Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/29\/fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar\/\">Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/\">BlueKeep: Patch auch f\u00fcr Raubkopien; Risikofaktor SSL-Tunnel<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/metasploit-fr-bluekeep-vorhanden-z-z-noch-privat\/\">Metasploit f\u00fcr BlueKeep vorhanden, z.Z. noch privat<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/31\/bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie\/\">BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/21\/bluekeep-patch-stand-mangelhaft-windows-2000-angreifbar\/\">BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/22\/windows-wie-stehts-um-die-bluekeep-schwachstelle-im-juli-2019\/\">Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/07\/23\/bluekeep-warnung-exploit-drfte-bald-kommen\/\">BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a><br \/>\n<a href=\"https:\/\/web.archive.org\/web\/20190726134042\/https:\/\/borncity.com\/blog\/2019\/07\/25\/5-vor-12-malware-mit-bluekeep-scanner-und-exploits\/\">5 vor 12: Malware mit BlueKeep-Scanner und Exploits<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/09\/07\/windows-bluekeep-metasploit-ffentlich-verfgbar\/\">Windows: Bluekeep-Metasploit \u00f6ffentlich verf\u00fcgbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforschern ist jetzt wohl erstmals eine Malware ins Netz gegangen, die die BlueKeep-Schwachstelle ausnutzen will, um Crypto-Miner zu installieren. Aktuell f\u00fchrt die aber wohl noch zu BlueScreens.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[7602,4328,3288],"class_list":["post-224561","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-bluekeep","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224561","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224561"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224561\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224561"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224561"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224561"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}