[English]Neues von der BlueKeep-Front: Es dürfte mittlerweile 5 vor 12 bezüglich der BlueKeep-Schwachstelle in Windows XP bis Windows 7 sein. Wer jetzt noch nicht gepatcht hat, dem ist nicht mehr zu helfen.
Anzeige
US-Anbieter verkauft BlueKeep Exploit
Bisher haben nur wenige Sicherheitsforscher Zugriff auf Details der Remote Desktop Services-Schwachstelle erhalten. Wie es ausschaut, ist die Ausnutzung auch nicht wirklich trivial – viele Ansätze waren bisher nur in der Lage, einen BlueScreen auszulösen. Nur einige Sicherheitsanbieter aus der Antivirus-Ecke hatten wohl einen funktionierenden Exploit, um die Netzwerkauthentifizierung über Remote Desktop Services auszuhebeln.
New Release – CANVAS 7.23: This release features a new module for the RDP exploit, BLUEKEEP. Check out our video demonstration here: https://t.co/azCuJp1osI #bluekeep #cve20190708 #exploit
— Immunity Inc. (@Immunityinc) July 23, 2019
Am 23. Juli 2019 hat die Firma Immunity Inc. angekündigt, dass sie einen voll funktionsfähigen BlueKeep-Exploit mit dem Pen-Test-Toolkit CANVAS v7.23 ausliefern werden. Damit ist es nur eine Frage der Zeit, bis Malware-Autoren den Exploit in die Finger bekommen. ZDNet.com hat hier einen weiterführenden Artikel.
Die Büchse der Pandora ist geöffnet
Generell muss man davon ausgehen, dass Geheimdienste wohl längst Zugriff auf funktionierende Exploits haben. Die Tage hatte ich im Blog-Beitrag BlueKeep-Warnung: Exploit dürfte bald kommen berichtet, dass jemand in Peking auf einer Sicherheitskonferenz über Interna der BlueKeep-Schwachstelle vorgetragen hat. Das wäre nicht passiert, wenn der chinesische Geheimdienst noch außen vor wäre.
Höchste Gefahr für Cyberangriffe via RDP
„RDP Exposed: The Threat That's Already at your Door", eine Langzeitstudie von Sophos zeigt, wie #Cyberkriminelle unerbittlich versuchen, Unternehmen via #RemoteDesktopProtocol (RDP) anzugreifen.https://t.co/hemfUmNsIB pic.twitter.com/DQAJ4w9Bth
— netzpalaver (@netzpalaver) July 22, 2019
Für Leute, die sich in Unternehmen mit dem Thema beschäftigen: Sophos hat eine Studie zum Thema erstellt, die sich hier als PDF-Dokument abrufen lässt. Die Studie analysiert die Sicherheitsbedrohung per RDP und kommt zum Schluss, dass Cyber-Kriminelle mit immer mehr Aufwand versuchen, per RDP in Netzwerke von Firmen einzubrechen.
Great visual from @Sophos crew @MarkStockley @infosecBoddy @Bencrypting showcasing how quickly machines with exposed RDP get swarmed by brute-force attempts: https://t.co/urUGOt3tGI pic.twitter.com/jl85wwgmHi
— Jonathan Crowe (@jonathanscrowe) July 18, 2019
Malware mit BlueKeep-Scanner
Bereits kurz nach Bekanntwerden der BlueKeep-Schwachstelle gab es Versuche, Windows-Systeme auf die BlueKeep-Lücke zu scannen (siehe Angreifer scannen Windows-Systeme auf BlueKeep-Lücke). Jetzt berichtet Bleeping Computer in diesem Artikel, dass eine Watchbog genannte Cryptomining-Malware entdeckt wurde, die einen BlueKeep-Scanner enthält. Entdeckt hat das Ganze Intezer Labs, die schreiben:
Anzeige
Unter den neuen Linux-Exploits implementiert diese Version von WatchBog ein BlueKeep RDP-Protokoll-Scanner-Modul, was darauf hindeutet, dass WatchBog eine Liste von anfälligen Systemen vorbereitet, die in Zukunft gezielt eingesetzt werden sollen oder die an Drittanbieter verkauft werden sollen, um Gewinne zu erzielen
Das ist also eine weitere Baustellen, wo etwas im Busch ist. Dabei gibt es Sicherheitsupdates zum Schließen der BlueKeep-Schwachstelle.
Hintergrund zur BlueKeep-Schwachstelle
Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2.
Es gibt zwar einen Patch, aber dieser wurde nicht in allen Systemen installiert. Aktuell schätzt man, dass noch ca. 800.000 Systeme ungepatcht betrieben werden und per Internet erreichbar sind (siehe Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019? ).
In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt.
Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep: Patch auch für Raubkopien; Risikofaktor SSL-Tunnel
Metasploit für BlueKeep vorhanden, z.Z. noch privat
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
BlueKeep: Patch-Stand mangelhaft, Windows 2000 angreifbar
Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019?
BlueKeep-Warnung: Exploit dürfte bald kommen
2015
Hallo,
ich muss jetzt dann noch mal ganz dumm fragen, sorry.
Dieser Exploit gilt doch nur für Systeme, die überhaupt per RDP erreichbar sind, oder? Also z.B. genattete RDP-Verbindungen oder wenn man sich eh schon im gleichen Netz befindet und es im Netz eben einen Server gibt, der RDP-Anfragen annimmt?
Ich kann ja keine RDP-Attacke auf einen x-beliebigen Computer/Server starten, wenn RDP grundsätzlich nicht erlaubt ist (was ja in jeder Windows-Standardinstallation so ist und erst explizit erlaubt werden muss)
Und im Idealfall ist eh erstmal eine VPN-Hürde davor, und VPNs sind zumindest meines Wissens nach…zumindest sicherer…
Dein Schluss ist korrekt. Ich bin da ja auch nur 'Papiertiger' – habe aber interessiert zur Kenntnis genommen, dass auf meinen oben verlinkten Artikel zum BlueKeep-Scan so die Rückmeldung von gestandenen Admins kam 'habe noch drei Systeme gefunden' … Wildwuchs der letzten Jahre.