[English]Ein Sicherheitsforscher hat einen weiteren Metasploit für due BlueKeep-Schwachstelle in den Remote Desktop Diensten von Windows entwickelt. Aktuell ist der noch nicht freigegeben, da der Entwickler das Ganze (wegen fast einer Million ungepatchter Systeme) für zu riskant hält.
Anzeige
Bei BlueKeep handet es sich um eine kritische Schwachstelle (CVE-2019-0708 ), mit der sich Systeme u.U. übernehmen lassen. Gefährdet sind Windows XP bis Windows 7 sowie deren Server-Pendants. Systeme ab Windows 8 sind nicht anfällig für die BlueKeep-Schwachstelle.
Microsoft bietet seit dem 14. Mai 2019 Sicherheitsupdates zum Schließen dieser Schwachstelle für betroffene Windows-Systeme an – selbst für die längt aus dem Support gefallene Versionen wie Windows XP oder Windows Server 2003 (siehe mein Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2).
Das Ganze wird also als kritisch eingeschätzt, das BSI (WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows), Microsoft (BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie) und das US-CERT haben Warnungen ausgesprochen.
Allerdings gibt es noch eine große Anzahl von Systemen, die noch ungepatcht sind, obwohl die Schwachstelle seit Mitte Mai 2019 bekannt ist und Updates bereitstehen. Ich hatte im Blog-Beitrag Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar über diesen Sachverhalt berichtet. In diesem Tweet hat jemand mal einen kleinen Netzwerkscan durchlaufen lassen – das Ergebnis vom 31. Mai 2019 war erschreckend.
Anzeige
#Bluekeep ist ja zum Glück erst ein paar Wochen alt.. https://t.co/QSWtXdhbrG spukt schon nach ein paar Sekunden die ersten Treffer in den lokalen Netzen aus..
Machmal… pic.twitter.com/zvAXMfj7li
— Millenium Falcon (@Querulantenwahn) 31. Mai 2019
MetaSploit für BlueKeep
Bisher gab es nur bei Sicherheitsfirmen wie den Antivirusherstellern ein Proof of Concept zur Ausnutzung der Schwachstelle – die nicht öffentlich verfügbar waren. Auch ein Netzwerkscanner für die RDP-Schwachstelle liegt vor (siehe How To: BlueKeep-Check für Windows). Was bisher fehlt, ist ein funktionierender Metasploit für Penetrationstests. Ein Metasploit ist ein von Sicherheitsforschern für Penetrationstests entwickelter Ansatz, um Sicherheitslücken auszunutzen und so die Angreifbarkeit eines Systems nachzuweisen.
Jetzt scheint ein Sicherheitforscher einen Metasploit fertig zu haben. Das entwickelte Modul stammt von Zǝɹosum0x0, der dieses auf Twitter ankündigte.
Rough draft MSF module. Still too dangerous to release, lame sorry. Maybe after first mega-worm?
PATCH #BlueKeep CVE-2019-0708
35c2571801b3b6c4297ed362cf901dc4e907ff32a276fb6544a2b9d0f643f207 pic.twitter.com/y0g9R9HNnc
— zǝɹosum0x0 (@zerosum0x0) 4. Juni 2019
Es handelt sich bei dem Metasploit noch um einen Entwurf (Draft). Dieses wird aber wegen der Gefahr für eine große Anzahl von Systemen, die noch ungepatcht sind, nicht öffentlich freigegeben.
Die Entwicklung eines Metasploits für die BlueKeep-Schwachstelle ist schwierig. Denn es sind keine Einzelheiten bekannt, sondern nur die Info, dass es die Schwachstelle gibt. Die Sicherheitsforscher versuchen sich daher in der Analyse, was von Microsoft in Windows gepatcht wurde und probieren einfach aus. Noch schwieriger sei es, die Ausführung von Remote-Code zu erreichen, da dies mehrere Schritte erfordert. Meist läuft es dann auf eine Denial-of-Service Bedingung in Form eines BlueScreens hinaus. Allerdings scheint die Community der Sicherheitsforscher inzwischen ein wenig Hintergrundwissen haben, was für den Exploit erforderlich ist, wie das Beispiel zeigt.
Der Sicherheitsforscher hat über obigen Tweet den Hinweis auf ein Video veröffentlicht, das eine erfolgreiche Nutzung des Metasploits auf einer Windows 2008-Maschine zeigt. Nachdem vom Metasploit die Anmeldeinformationen für das Zielsystem mit dem Mimikatz-Tool extrahiert wurden, konnte die volle Kontrolle über das System erreicht werden.
Der Sicherheitsforscher gab gegenüber BleepingComputer an, dass der gleiche Exploit sowohl für Windows 7 als auch für Server 2008 R2 funktioniert, da die beiden Betriebssysteme "im Wesentlichen identisch sind, abgesehen von einigen zusätzlichen Programmen auf dem Server". Bezüglich der Ausnutzbarkeit unter Windows 7 bin ich aber skeptisch, da auf den meisten Systemen keine Remote Desktop Dienste laufen – bei meinen Scans, waren die Windows 7-Systeme für das Tool rdpscan nicht erreichbar.
Obwohl Windows Server 2003 auch für BlueKeep anfällig ist, konnte das Metasploit-Team den Fehler nicht auslösen und auf diesem Betriebssystem ausnutzen. @zerosum0x0 ist ein Sicherheitsforscher, der an diesem BlueKeep-Scanner mit entwickelt hat. Wie man Systeme auf ihre Sicherheit gegen BlueKeep prüft, habe ich ja im Artikel How To: BlueKeep-Check für Windows skizziert.
Ähnliche Artikel:
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
How To: BlueKeep-Check für Windows
Anzeige
Hier gibt es ein recht frisches Scan-Tool für BlueKeep: https://github.com/robertdavidgraham/rdpscan
Das habe ich die Tage durch unsere Netze scannen lassen, und bei über 2000 gescannten Systemen wurden tatsächlich noch 3 Kisten gefunden, auf der der Patch tatsächlich nicht eingespielt war.
Dann hat sich der Zeitaufwand doch gelohnt.
Wieder einen Pluspunkt für die nächste Gehaltserhöhung gesammelt :-)