{"id":224705,"date":"2019-11-10T00:28:00","date_gmt":"2019-11-09T23:28:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224705"},"modified":"2024-10-04T11:19:25","modified_gmt":"2024-10-04T09:19:25","slug":"neue-warnungen-vor-bluekeep-von-microsoft-co","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/10\/neue-warnungen-vor-bluekeep-von-microsoft-co\/","title":{"rendered":"Neue Warnungen vor BlueKeep von Microsoft & Co."},"content":{"rendered":"

[English<\/a>]Nachdem erste Angriffe von Malware \u00fcber die BlueKeep-Schwachstelle gesichtet wurden (siehe Windows: Erste BlueKeep-Angriffe gesichtet<\/a>), versch\u00e4rfen Microsoft und die australische Regierung ihre Warnungen.<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick auf BlueKeep<\/h2>\n

Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. \"\"Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt (siehe BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a>). Es scheint aber, dass die BlueKeep-Schwachstelle in der Praxis nur schwierig ausnutzbar ist. Nur so ist zu erkl\u00e4ren, dass es bisher recht ruhig um dieses Thema war, obwohl es einen \u00f6ffentlich verf\u00fcgbaren Metasploit gibt (siehe Windows: Bluekeep-Metasploit \u00f6ffentlich verf\u00fcgbar<\/a>). <\/p>\n

\"\"Letzte Woche hat sich das Bild nun ge\u00e4ndert. Sicherheitsforscher Kevin Beaumont hatte nach dem Bekanntwerden der BlueKeep-Schwachstelle und der Verf\u00fcgbarkeit erster Exploits ein weltweites Netz von Honeypots f\u00fcr die RDP-Schwachstelle aufgesetzt. Samstag berichtete Beaumont dar\u00fcber, dass seine EternalBlue RDP Honeypot pl\u00f6tzlich BlueScreens zeigten.<\/p>\n

Als Sicherheitsforscher sich den Crash-Dump der BlueScreens angesehen  haben, wurde klar, dass jemand versucht, die BlueKeep-Schwachstelle auszunutzen. Sicherheitsforscher von MalwareTech best\u00e4tigten, dass im Kernel-Dump Spuren eines Metasploits zur Ausnutzung der BlueKeep Schwachstelle (oder zumindest etwas, das darauf basiert) zu finden waren. Es ist wohl der Versuch, \u00fcber die Schwachstelle einen Crypto-Miner auf den Windows-Maschinen zu installieren. Details hatte ich im Blog-Beitrag Windows: Erste BlueKeep-Angriffe gesichtet<\/a> zusammen getragen.<\/p>\n

Warnung der australischen Beh\u00f6rden<\/h2>\n

Einem Beitrag auf Bleeping Computer<\/a> nach warnt das australische Cyber Security Centre (ACSC) der Australian Signals Directorate zusammen mit Partnern aus den Bundesstaaten Unternehmen und Personen vor Bedrohungen durch die Ransomware Emotet und vor Ausnutzung der BlueKeep-Schwachstelle. Beide Bedrohungen seien in der Wildnis aktiv aufgetreten.<\/p>\n

Der ACSC hat offenbar die oben erw\u00e4hnten Erkenntnisse aufgegriffen und fordert die Nutzer zur Wachsamkeit auf. Denn Angreifer h\u00e4tten begonnen, die die Sicherheitsl\u00fccke von Windows BlueKeep ausnutzen, um ungepatchte Systeme anzugreifen, und diese mit Coin Minern zu infizieren.<\/p>\n

Zu den Emotet-Kampagnen schreibt die ACSC, dass diese im Vergleich zu Ende Oktober in der letzten Woche langsam nachgelassen h\u00e4tten. Emotet-Kampagnen stellen aber immer noch eine erhebliche Bedrohung f\u00fcr Unternehmen und die breite \u00d6ffentlichkeit dar. Weitere Details lassen sich bei Bleeping Computer nachlesen<\/a>.<\/p>\n

Auch Microsoft warnt erneut vor BlueKeep<\/h2>\n

Die oben berichtete Entdeckung einer Schadsoftware, die Honeypots \u00fcber die BlueKeep-Schwachstelle mit einem Crypto-Miner infiziert, ist f\u00fcr Microsoft auch ein Weckruf an die Anwender, endlich ihre System zu patchen.<\/p>\n

\n

While we currently see only coin miners being dropped, we agree w\/ the research community that CVE-2019-0708 (BlueKeep) exploitation can be big. Locate and patch exposed RDP services now. Read our latest blog w\/ assist from @GossiTheDog<\/a> & @MalwareTechBlog<\/a> https:\/\/t.co\/y1NgN5WVu8<\/a><\/p>\n

\u2014 Microsoft Security Intelligence (@MsftSecIntel) November 7, 2019<\/a><\/p><\/blockquote>\n