{"id":224752,"date":"2019-11-12T01:57:14","date_gmt":"2019-11-12T00:57:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224752"},"modified":"2020-01-09T08:53:42","modified_gmt":"2020-01-09T07:53:42","slug":"microsofts-meltdown-patch-erzeugt-bluekeep-bsods","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/12\/microsofts-meltdown-patch-erzeugt-bluekeep-bsods\/","title":{"rendered":"Microsofts Meltdown-Patch erzeugt BlueKeep BSODs"},"content":{"rendered":"

Interessante Erkenntnis: Der Exploit f\u00fcr die BlueKeep-Schwachstelle, der k\u00fcrzlich f\u00fcr Angriffe benutzt wurde, erzeugt auf einigen Windows-Maschinen nur deshalb einen BlueScreen, weil die Entwickler keinen Meltdown-Support integriert haben.<\/p>\n

<\/p>\n

Worum geht es?<\/h2>\n

\"\"Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. Ich hatte seit Monaten einen Angriff \u00fcber die BlueKeep-Schwachstelle erwartet (siehe BlueKeep-Warnung: Exploit d\u00fcrfte bald kommen<\/a>).<\/p>\n

Sicherheitsforscher Kevin Beaumont hatte nach dem Bekanntwerden der BlueKeep-Schwachstelle und der Verf\u00fcgbarkeit erster Exploits ein weltweites Netz von Honeypots f\u00fcr die RDP-Schwachstelle aufgesetzt. Im Oktober 2019 stellte der Sicherheitsforscher pl\u00f6tzlich fest, dass die virtuellen Maschinen mit diesen Honeypots pl\u00f6tzlich BlueScreens warfen. Eine Analyse ergab, dass dort offenbar Angriffe \u00fcber die RDP-BlueKeep-Schwachstelle auf die Honeypots versucht wurden. Ziel war es, einen Crypto-Miner auf den Systemen zu installieren.<\/p>\n

Ich hatte im Blog-Beitrag Windows: Erste BlueKeep-Angriffe gesichtet<\/a> dar\u00fcber berichtet. Aus diesem Anlass hat Microsoft nochmals seine Warnung vor der BlueKeep-Schwachstelle verst\u00e4rkt (siehe Neue Warnungen vor BlueKeep von Microsoft & Co.<\/a>) und empfiehlt die Windows-Systeme schnellstm\u00f6glich zu patchen. Updates stehen f\u00fcr betroffene Windows-Versionen bereit (siehe Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a>).<\/p>\n

Meltdown-Patch erzeugt BlueScreens<\/h2>\n

Nun hat eine Analyse der Angriffe offen gelegt, warum der BlueKeep-Exploit auf den Honeypots einen BlueScreen ausgel\u00f6st hat. Catalin Cimpanu fasst es in seinem nachfolgenden Tweet zusammen.<\/p>\n

\n

BlueKeep exploit to get a fix for its BSOD problem<\/p>\n

> Microsoft's Meltdown patch was causing BlueKeep attacks to crash on some systems.
\n> Patch for MSF BlueKeep module coming later this weekhttps:\/\/t.co\/WuA3gARsGa<\/a> pic.twitter.com\/gNiY8iYRtN<\/a><\/p>\n

\u2014 Catalin Cimpanu (@campuscodi) November 11, 2019<\/a><\/p><\/blockquote>\n