Metasploit für BlueKeep vorhanden, z.Z. noch privat

[English]Ein Sicherheitsforscher hat einen weiteren Metasploit für due BlueKeep-Schwachstelle in den Remote Desktop Diensten von Windows entwickelt. Aktuell ist der noch nicht freigegeben, da der Entwickler das Ganze (wegen fast einer Million ungepatchter Systeme) für zu riskant hält.


Anzeige

Bei BlueKeep handet es sich um eine kritische Schwachstelle (CVE-2019-0708 ), mit der sich Systeme u.U. übernehmen lassen. Gefährdet sind Windows XP bis Windows 7 sowie deren Server-Pendants. Systeme ab Windows 8 sind nicht anfällig für die BlueKeep-Schwachstelle.

Microsoft bietet seit dem 14. Mai 2019 Sicherheitsupdates zum Schließen dieser Schwachstelle für betroffene Windows-Systeme an – selbst für die längt aus dem Support gefallene Versionen wie Windows XP oder Windows Server 2003 (siehe mein Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2).

Das Ganze wird also als kritisch eingeschätzt, das BSI (WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows), Microsoft (BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie) und das US-CERT haben Warnungen ausgesprochen.

Allerdings gibt es noch eine große Anzahl von Systemen, die noch ungepatcht sind, obwohl die Schwachstelle seit Mitte Mai 2019 bekannt ist und Updates bereitstehen. Ich hatte im Blog-Beitrag Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar über diesen Sachverhalt berichtet. In diesem Tweet hat jemand mal einen kleinen Netzwerkscan durchlaufen lassen – das Ergebnis vom 31. Mai 2019 war erschreckend.

MetaSploit für BlueKeep

Bisher gab es nur bei Sicherheitsfirmen wie den Antivirusherstellern ein Proof of Concept zur Ausnutzung der Schwachstelle – die nicht öffentlich verfügbar waren. Auch ein Netzwerkscanner für die RDP-Schwachstelle liegt vor (siehe How To: BlueKeep-Check für Windows). Was bisher fehlt, ist ein funktionierender Metasploit für Penetrationstests. Ein Metasploit ist ein von Sicherheitsforschern für Penetrationstests entwickelter Ansatz, um Sicherheitslücken auszunutzen und so die Angreifbarkeit eines Systems nachzuweisen.

Jetzt scheint ein Sicherheitforscher einen Metasploit fertig zu haben. Das entwickelte Modul stammt von Zǝɹosum0x0, der dieses auf Twitter ankündigte.


Anzeige

Es handelt sich bei dem Metasploit noch um einen Entwurf (Draft). Dieses wird aber wegen der Gefahr für eine große Anzahl von Systemen, die noch ungepatcht sind, nicht öffentlich freigegeben. 

Die Entwicklung eines Metasploits für die BlueKeep-Schwachstelle ist schwierig. Denn es sind keine Einzelheiten bekannt, sondern nur die Info, dass es die Schwachstelle gibt. Die Sicherheitsforscher versuchen sich daher in der Analyse, was von Microsoft in Windows gepatcht wurde und probieren einfach aus. Noch schwieriger sei es, die Ausführung von Remote-Code zu erreichen, da dies mehrere Schritte erfordert. Meist läuft es dann auf eine Denial-of-Service Bedingung in Form eines BlueScreens hinaus. Allerdings scheint die Community der Sicherheitsforscher inzwischen ein wenig Hintergrundwissen haben, was für den Exploit erforderlich ist, wie das Beispiel zeigt.

Der Sicherheitsforscher hat über obigen Tweet den Hinweis auf ein Video veröffentlicht, das eine erfolgreiche Nutzung des Metasploits auf einer Windows 2008-Maschine zeigt. Nachdem vom Metasploit die Anmeldeinformationen für das Zielsystem mit dem Mimikatz-Tool extrahiert wurden, konnte die volle Kontrolle über das System erreicht werden.

Der Sicherheitsforscher gab gegenüber BleepingComputer an, dass der gleiche Exploit sowohl für Windows 7 als auch für Server 2008 R2 funktioniert, da die beiden Betriebssysteme “im Wesentlichen identisch sind, abgesehen von einigen zusätzlichen Programmen auf dem Server”. Bezüglich der Ausnutzbarkeit unter Windows 7 bin ich aber skeptisch, da auf den meisten Systemen keine Remote Desktop Dienste laufen – bei meinen Scans, waren die Windows 7-Systeme für das Tool rdpscan nicht erreichbar.

Obwohl Windows Server 2003 auch für BlueKeep anfällig ist, konnte das Metasploit-Team den Fehler nicht auslösen und auf diesem Betriebssystem ausnutzen. @zerosum0x0 ist ein Sicherheitsforscher, der an diesem BlueKeep-Scanner mit entwickelt hat. Wie man Systeme auf ihre Sicherheit gegen BlueKeep prüft, habe ich ja im Artikel How To: BlueKeep-Check für Windows skizziert.

Ähnliche Artikel:
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
How To: BlueKeep-Check für Windows


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows 7, Windows Server, Windows Vista, Windows XP abgelegt und mit BlueKeep, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Metasploit für BlueKeep vorhanden, z.Z. noch privat


  1. Anzeige
  2. 1ST1 sagt:

    Hier gibt es ein recht frisches Scan-Tool für BlueKeep: https://github.com/robertdavidgraham/rdpscan

    Das habe ich die Tage durch unsere Netze scannen lassen, und bei über 2000 gescannten Systemen wurden tatsächlich noch 3 Kisten gefunden, auf der der Patch tatsächlich nicht eingespielt war.

    • RUTZ-AhA sagt:

      Dann hat sich der Zeitaufwand doch gelohnt.
      Wieder einen Pluspunkt für die nächste Gehaltserhöhung gesammelt :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.