Sicherheitslücke BlueKeep – Admins sollten dringend Patchen

22. August, 2019
Sicherheitslücke BlueKeep – Admins sollten dringend Patchen

Was die Microsoft Windows Sicherheitslücke BlueKeep angeht, läuten seit Mai dieses Jahres überall die Alarmglocken. IT-Forscher und sogar die amerikanische NSA drängten Microsoft, ein Patch hierfür zu veröffentlichen. Das Unternehmen veröffentlichte das Patch am 14. Mai. Allerdings tut es sich schwer, alle betroffenen User von der Dringlichkeit der Umsetzung zu überzeugen.

Mittlerweile haben verschiedene IT-Sicherheitsfirmen die Sicherheitslücke für die Öffentlichkeit genau erläutert. Verantwortlich für die BlueKeep Schwachstelle ist eine Windows-Komponente, genannt Remote Desktop Service auch Remote Desktop Protokoll mit der zugeteilten Kennung CVE-2019-0708. Betroffen sind die Windows Betriebssysteme XP, 7, Windows Server 2003 und 2008. Windows 8 und 10 sind nicht davon betroffen.

Noch nicht veröffentlichte Proof-of-Concept-Exploits wurde längst entwickelt von IT-Sicherheitsforschern. Sie gehen aber davon aus, dass schon bald ein Exploit mit „Remote-Code-Execution“-Fähigkeiten auftauchen und vermutlich großen Schaden anrichten wird. Angreifer könnten über eine Backdoor in betroffene Computersysteme eindringen und das ganz ohne Zugangsdaten. BlueKeep kann wie ein Wurm eingesetzt werden und sich in und außerhalb von Computernetzwerken ausbreiten. Ähnliche Fähigkeiten hatte seinerzeit WannaCry, der 2017 sein Unwesen trieb.

Warum im Juli immer noch etwa 800.000 gefährdete Systeme online sind, ist die besorgniserregende Frage. Administratoren können neben der Patch-Möglichkeit auch noch den Weg der Deaktivierung des RDP oder des Network Level Authentication in den betroffenen Systemen gehen. NLA allerdings würde die Gefahr nicht gänzlich bannen, schränkt sie allerdings deutlich ein. RDP zu beseitigen könnten in einigen Fällen schwierig sein. Eine Isolierung wäre in diesen Fällen möglich, durch einen VPN für den Verbindungsaufbau. Auch denkbar wäre es das RDP-Gateway zu nutzen, das SSL unterstützt. Microsoft bietet seinen Kunden hierfür ausführliche Anleitungen.

IT-Sicherheitsforscher sind sichtlich nervös. Die NCC Group veröffentlichte daher eine Suricata-Signatur, die BlueKeep-Angriffe erkennen kann. Auch von Cisco gibt es hierzu etwas. SANS Sicherheitsexperte Johannes B. Ullrich sagte in einem Kommentar:

„Verwundbarkeit birgt zwei grundlegende Schwächen in Netzwerken: Windows 7 (oder XP) wird noch betrieben oder die RDP-Problematik ist gegeben. Beides ist nicht gut und beide Probleme müssen angegangen werden. Jetzt, wo der Fokus auf RDP liegt, stehen die Chancen gut, dass zusätzliche Schwachstellen in den nächsten Monaten gefunden werden.“

Verständlich ist, dass Abhilfemaßnahmen für viele Unternehmen schwierig und kostspielig in der Umsetzung sind. Was viele allerdings nicht bedenken, ist, dass die Folgen davon, keine Maßnahmen zu ergreifen, viel viel höher sein werden.

Artikel von isc.sans.edu, 22.05.2019: An Update on the Microsoft Windows RDP „Bluekeep“ Vulnerability (CVE-2019-0708) [now with pcaps]
Artikel von arstechnica.com, 23.05.2019: Why a Windows flaw patched nine days ago is still spooking the Internet

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen