Nachdem Microsoft Windows-Anwender zweimal gewarnt hat, eine schwere Sicherheitslücke namens BlueKeep zu patchen, warnt nun auch die US National Security Agency (NSA) vor der BlueKeep-Schwachstelle (CVE-2019-0708), in der Hoffnung, einen weiteren Vorfall wie WannaCry zu vermeiden.
Die Schwachstelle betrifft das Remote Desktop Protocol (RDP), der in älteren Versionen des Windows-Betriebssystems enthalten ist, wie Windows XP, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008. Die Schwere der Lücke lässt sich auch daran erkennen, dass Microsoft selbst für das nicht mehr unterstützte Betriebssystem Windows XP einen Patch veröffentlicht hat.
In seiner ersten Warnung verglich Microsoft BlueKeep mit EternalBlue, dem Exploit, der das Herzstück der sich selbst verbreitenden Komponente war, die während WannaCry, NotPetya und Bad Rabbit verwendet wurde – den drei Ransomware-Ausbrüchen von 2017.
Zwei Wochen nach der Veröffentlichung der Microsoft-Fixes gab das Unternehmen eine zweite Warnung heraus, nachdem ein Sicherheitsforscher festgestellt hatte, dass Systemadministratoren mit ihrem Patch-Prozess im Rückstand waren.
Der Sicherheitsforscher fand fast eine Million Windows-Computer, die für BlueKeep-Angriffe anfällig sind, eine Zahl, die er in seiner Prognose als die niedrigste Stufe bezeichnete, da andere Computer nicht gescannt werden konnten, weil sie sich in geschlossenen Netzwerken befanden.
„Es ist wahrscheinlich nur eine Frage der Zeit, bis Remote-Ausnutzungscode für diese Schwachstelle weit verbreitet ist“, sagte die NSA und wiederholte die gleiche Meldung aus Microsofts zweiter Warnung.
„Die NSA befürchtet, dass böswillige Cyber-Akteure die Schwachstelle in Ransomware und Exploit-Kits, die andere bekannte Exploits enthalten, nutzen und so die Fähigkeiten gegenüber anderen nicht gepatchten Systemen erhöhen werden.
Neben dem Einsatz von Microsoft-Patches empfahl die Behörde den betroffenen Unternehmen, auch zusätzliche Sicherheitsmaßnahmen gegen RDP-Angriffe zu ergreifen. Dazu zählen:
TCP-Port 3389 in Firewall blockieren, insbesondere an allen Firewalls, die mit dem Internet verbunden sind. Dieser Port wird im RDP-Protokoll verwendet und blockiert Versuche, eine Verbindung herzustellen.
Authentifizierung auf Netzwerkebene aktivieren: Diese Sicherheitsverbesserung erfordert, dass Angreifer über gültige Anmeldeinformationen verfügen müssen, um eine Remote-Codeauthentifizierung durchzuführen.
Deaktivieren von Remote Desktop Services, wenn sie nicht benötigt werden: Die Deaktivierung nicht genutzter und nicht benötigter Dienste trägt dazu bei, die Gefährdung durch Sicherheitsschwachstellen insgesamt zu verringern und ist eine bewährte Vorgehensweise auch ohne die BlueKeep-Bedrohung.
Weitere RDP-Schwachstelle entdeckt
Die Warnung der NSA erschien am selben Tag, als Experten des CERT Coordination Center an der Carnegie Mellon University Details über eine neue Sicherheitslücke im RDP-Dienst enthüllt haben. Diese neue Sicherheitslücke, die mit CVE-2019-9510 bezeichnet wird, kann verwendet werden, um bestehende RDP-Sitzungen zu übernehmen, um Zugang zu anfälligen Computern zu erhalten.
Im Gegensatz zu BlueKeep ist diese allerdings weniger gefährlich, da sie nicht massenhaft ausgenutzt werden kann, da es einen Angreifer erfordert, der in der Lage ist, den RDP-Verkehr/Verbindung eines Benutzers zu stören. Bislang gibt es keine Patches für den neuen RDP-Fehler. Microsofts nächster Patch Dienstag ist für nächste Woche, den 11. Juni, geplant.
Quelle: BlueKeep-Schwachstelle: Microsoft und NSA warnen vor verheerenden Folgen
Update: 04.11.2019
Jetzt patchen! Attacken auf Windows-Lücke BlueeKeep beobachtet
Wer noch ältere Windows-Versionen betreibt, sollte sicherstellen, dass diese auf dem aktuellen Stand sind. Ansonsten könnte Malware auf Computer gelangen.
Angreifer haben es derzeit auf eine als "kritisch" eingestufte Sicherheitslücke in Windows XP, 7, Vista, Server 2003 und Server 2008 abgesehen. Ist eine Attacke erfolgreich, könnte sich Malware wurmartig von einem Computer auf weitere PCs verbreiten. So könnten Angreifer ganze Netzwerke kompromittieren.
Krypto-Miner im Gepäck
Die Schwachstelle (CVE-2019-0708) ist unter dem Namen BlueKeep bekannt und steckt in Micrsofts Remote Desktop Protocol (RDP) für die Fernwartung von Windows-PCs. Die Lücke ist seit Ende Mai 2019 bekannt – seitdem gibt es auch Sicherheitsupdates. Patches gibt es sogar für XP und Vista, die eigentlich bereits vom offiziellen Update-Zweig abgeschnitten sind. Computer mit bedrohten Windows-Versionen sind nur gefährdet, wenn der RDP-Service aktiviert ist. Windows 8.1 und 10 sind generell nicht betroffen.
Wie aus einem Beitrag hervorgeht, haben Sicherheitsforscher von Kryptos Logic nun erste Angriff auf ihre Honypots dokumentiert. Dabei handelt es sich um PCs, die als Lockfalle für Angreifer im Netz hängen. Während ihrer Beobachtungen kam es zu Angriffen auf den von RDP genutzten TCP-Port 3389. Dabei stürzten die Honeypots mit einem Blue Screen of Death (BSOD) ab.
Im Zuge ihrer Untersuchungen konnten die Sicherheitsforscher auch die Payload analysieren, die Angreifer über die Schwachstelle auf Windows-Computer schieben wollen. Dabei handelt es sich dem Online-Analyse-Service Virustotal zufolge um einen Krypto-Miner, der auf Kosten der Rechenleistung von Opfern die Kryptowährung Monero schürft.
Einem Analysten von Malware Tech zufolge ist die Payload momentan nicht darauf ausgelegt, sich wurmartig im Netzwerk zu verbreiten und so weitere PCs zu infizieren.
Sicherheitsupdates installieren
Admins sollten nun dringend ihre Windows-PCs auf Aktualität prüfen und sie gegebenenfalls updaten. In welchem Ausmaß die Angriffe konkret stattfinden, führen die Sicherheitsforscher nicht aus. In ihrem Beitrag ist die Rede von einer "massenhaften Ausnutzung". Dort beschreiben sie auch technische Einzelheiten zum Exploit.
Patch-Downloads:
Sicherheitsupdates für Windows 7 und Windows Server 2008 (R2)
Sicherheitsupdates für Windows XP, Vista und Server 2003
Quelle: Jetzt patchen! Attacken auf Windows-Lücke BlueeKeep beobachtet | heise online