5 vor 12: Malware mit BlueKeep-Scanner und Exploits

[English]Neues von der BlueKeep-Front: Es dürfte mittlerweile 5 vor 12 bezüglich der BlueKeep-Schwachstelle in Windows XP bis Windows 7 sein. Wer jetzt noch nicht gepatcht hat, dem ist nicht mehr zu helfen.


Anzeige

US-Anbieter verkauft BlueKeep Exploit

Bisher haben nur wenige Sicherheitsforscher Zugriff auf Details der Remote Desktop Services-Schwachstelle erhalten. Wie es ausschaut, ist die Ausnutzung auch nicht wirklich trivial – viele Ansätze waren bisher nur in der Lage, einen BlueScreen auszulösen. Nur einige Sicherheitsanbieter aus der Antivirus-Ecke hatten wohl einen funktionierenden Exploit, um die Netzwerkauthentifizierung über Remote Desktop Services auszuhebeln.

Am 23. Juli 2019 hat die Firma Immunity Inc. angekündigt, dass sie einen voll funktionsfähigen BlueKeep-Exploit mit dem Pen-Test-Toolkit CANVAS v7.23 ausliefern werden. Damit ist es nur eine Frage der Zeit, bis Malware-Autoren den Exploit in die Finger bekommen. ZDNet.com hat hier einen weiterführenden Artikel.

Die Büchse der Pandora ist geöffnet

Generell muss man davon ausgehen, dass Geheimdienste wohl längst Zugriff auf funktionierende Exploits haben. Die Tage hatte ich im Blog-Beitrag BlueKeep-Warnung: Exploit dürfte bald kommen berichtet, dass jemand in Peking auf einer Sicherheitskonferenz über Interna der BlueKeep-Schwachstelle vorgetragen hat. Das wäre nicht passiert, wenn der chinesische Geheimdienst noch außen vor wäre.

Für Leute, die sich in Unternehmen mit dem Thema beschäftigen: Sophos hat eine Studie zum Thema erstellt, die sich hier als PDF-Dokument abrufen lässt. Die Studie analysiert die Sicherheitsbedrohung per RDP und kommt zum Schluss, dass Cyber-Kriminelle mit immer mehr Aufwand versuchen, per RDP in Netzwerke von Firmen einzubrechen.

Malware mit BlueKeep-Scanner


Anzeige

Bereits kurz nach Bekanntwerden der BlueKeep-Schwachstelle gab es Versuche, Windows-Systeme auf die BlueKeep-Lücke zu scannen (siehe Angreifer scannen Windows-Systeme auf BlueKeep-Lücke). Jetzt berichtet Bleeping Computer in diesem Artikel, dass eine Watchbog genannte Cryptomining-Malware entdeckt wurde, die einen BlueKeep-Scanner enthält. Entdeckt hat das Ganze Intezer Labs, die schreiben:

Unter den neuen Linux-Exploits implementiert diese Version von WatchBog ein BlueKeep RDP-Protokoll-Scanner-Modul, was darauf hindeutet, dass WatchBog eine Liste von anfälligen Systemen vorbereitet, die in Zukunft gezielt eingesetzt werden sollen oder die an Drittanbieter verkauft werden sollen, um Gewinne zu erzielen

Das ist also eine weitere Baustellen, wo etwas im Busch ist. Dabei gibt es Sicherheitsupdates zum Schließen der BlueKeep-Schwachstelle.

Hintergrund zur BlueKeep-Schwachstelle

Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2.

Es gibt zwar einen Patch, aber dieser wurde nicht in allen Systemen installiert. Aktuell schätzt man, dass noch ca. 800.000 Systeme ungepatcht betrieben werden und per Internet erreichbar sind (siehe Windows: Wie steht’s um die BlueKeep-Schwachstelle im Juli 2019? ).

In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt.

Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep: Patch auch für Raubkopien; Risikofaktor SSL-Tunnel
Metasploit für BlueKeep vorhanden, z.Z. noch privat
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar
Windows: Wie steht’s um die BlueKeep-Schwachstelle im Juli 2019?
BlueKeep-Warnung: Exploit dürfte bald kommen


Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows, Windows 7 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu 5 vor 12: Malware mit BlueKeep-Scanner und Exploits


  1. Anzeige
  2. Max G sagt:

    Hallo,
    ich muss jetzt dann noch mal ganz dumm fragen, sorry.
    Dieser Exploit gilt doch nur für Systeme, die überhaupt per RDP erreichbar sind, oder? Also z.B. genattete RDP-Verbindungen oder wenn man sich eh schon im gleichen Netz befindet und es im Netz eben einen Server gibt, der RDP-Anfragen annimmt?
    Ich kann ja keine RDP-Attacke auf einen x-beliebigen Computer/Server starten, wenn RDP grundsätzlich nicht erlaubt ist (was ja in jeder Windows-Standardinstallation so ist und erst explizit erlaubt werden muss)
    Und im Idealfall ist eh erstmal eine VPN-Hürde davor, und VPNs sind zumindest meines Wissens nach…zumindest sicherer…

    • Günter Born sagt:

      Dein Schluss ist korrekt. Ich bin da ja auch nur ‘Papiertiger’ – habe aber interessiert zur Kenntnis genommen, dass auf meinen oben verlinkten Artikel zum BlueKeep-Scan so die Rückmeldung von gestandenen Admins kam ‘habe noch drei Systeme gefunden’ … Wildwuchs der letzten Jahre.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.