BlueKeep Patchen – auch NSA macht Druck

13. September, 2019
Sicherheitslücke BlueKeep – Admins sollten dringend Patchen

Die amerikanische NSA sah sich Anfang Juni veranlasst, einen recht raren Aufruf zu veröffentlichen. Es war direkt an Unternehmen und Einzelpersonen gerichtet und forderte diese auf, ein wichtiges Update anzuwenden. Es ging um die BlueKeep-Schwachstelle (CVE-2019-0708), die eine Sicherheitslücke in alten Windows-Betriebssystemen ausnutzt – mit schwerwiegenden Folgen.

BlueKeep ist ein NSA-Gewächs, ein Tool, seinerzeit intern entwickelt, um Computer weltweit auszuspionieren. Es nutzte eine Schwachstelle aus, die anfällig ist für Angriffe mit Remote-Code über die Remote Desktop Services von Microsoft auf älteren Windows-Systemen. BlueKeep hat wurmfähige Eigenschaften. Wurmartige Malware frisst sich wie ein Wurm durch Betriebssysteme.

Eine Aktion eines Benutzers ist dazu nicht nötig. Die Verbindung findet rein über den Remote Desktop Services in Microsoft Windows statt. Microsoft warnte Nutzer bereits am 30. Mai, nur ein einziger anfälliger Rechner, der mit dem Internet verbunden ist, würde ausreichen, um ein potenzielles Gateway in diese Unternehmensnetzwerke zu öffnen. Dann kann sich die Malware selbstständig verbreiten und Rechner in ganzen Netzwerken infizieren. Vom Domänencontroller aus sendet der Wurm eine Kopie von sich selbst an alle Desktops und Server eines Netzwerks.

Das mögliche Schadenspotenzial durch BlueKeep ist so groß, dass die NSA Microsoft dabei unterstützt, Nutzer darauf aufmerksam zu machen, das Update anzuwenden. Betroffen sind die alten Betriebssysteme Windows XP, Windows 2003, Windows 7, Windows Server 2008 und 2008 R2. Sie müssen dringend gepatcht werden. Experten gehen davon aus, dass etwa eine Million internetfähige Windows-Rechner für BlueKeep anfällig sein könnten. Allein Windows 7 läuft weltweit auf etwa 35 % aller Rechner. Windows XP läuft dagegen nur auf etwa 2 % aller Rechner.

Die NSA ordnet BlueKeep viele Angriffsmöglichkeiten zu. Angefangen mit Ransomware-Würmern oder solchen, die Denial-of-Service-Angriffe durchführen können. Die NSA hatte keine neuen Ratschläge parat, sondern berief sich auf die bereits von Microsoft veröffentlichten Empfehlungen. Zu diesen gehören das Deaktivieren von RDS für Remote-Geräte-Netzwerkverbindungen und vor allem das schnellstmögliche Patchen. Weitere Möglichkeiten sind das Blockieren des TCP-Ports 3389 an der Firewall. Damit können externe Versuche zum Verbindungsaufbau blockiert werden. Ist ein Wurm aber erst einmal in einem Netzwerk, nützt das Blockieren des Ports freilich nichts mehr. Andere Ratschläge gehen in die Richtung, dass Administratoren gut beraten wären, auch die Authentifizierung auf Netzwerkebene zu aktivieren. Das würde Angreifer zwingen, gültige Anmeldeinformationen für die Remote-Code-Authentifizierung zu nutzen. Es schließt jedoch nicht aus, dass Angriffe durchgeführt werden können, wenn zuvor bereits Anmeldeinformationen gesammelt wurden.

Die NSA sieht sich aber weiterhin nicht verantwortlich für EternalBlue oder BlueKeep Angriffe. Vielmehr zeigt es den Finger direkt an nachlässige Administratoren, die es in den letzten zwei Jahren nicht geschafft hätten, ihre Betriebssysteme zu patchen. Sie warnte gleichzeitig, dass es nur eine Frage der Zeit sei, bis ein Remote-Code für diese Schwachstelle allgemein verfügbar sei.

Und in der Tat untersuchen Sicherheitsforscher die Schwachstelle bereits intensiv. Mehrere Proof of Concepts gibt es dazu bereits. Sie lösen zwar die Blue-Screen-Lockups aus, erlauben aber die Ausführung von Code nicht. McAfee konnte einen Proof-of-Concept entwickeln, der dann nicht mehr gegen ein gepatchtes System funktionierte. Andere Sicherheitsforscher sprachen davon, ein funktionierendes Proof-of-Concept Metasploit-Modul erstellt zu haben. Es würde einem nicht authentifizierten Angreifer den Zugang ermöglichen und einen Windows-Rechner in etwas mehr als 20 Sekunden vollständig kompromittieren.

Interessanterweise können die Forscher nur wenige Scan-Aktivitäten nach verwundbaren Ports und Rechnern registrieren. Gleichzeitig erkennen sie, dass sich viele Leute mit den Exploits und Lösungsansätzen befassen.

Artikel von nsa.gov, Juni 2019: PATCH REMOTE DESKTOP SERVICES ON LEGACY VERSIONS OF WINDOWS
Artikel von duo.com, 05.06.2019: NSA Joins Chorus Urging Speedy Patching for BlueKeep
Artikel von nextgov.com, 05.06.2019: NSA Issues Warning to Patch Legacy Windows Systems Over ‘Wormable’ Threat

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen