Windows: Bluekeep-Metasploit öffentlich verfügbar

[English]Der Tag, auf den die Software-Hersteller und Sicherheitsforscher seit Monaten gewartet haben, ist da. Ein Metasploid für die Bluekeep-Schwachstelle in Windows ist öffentlich verfügbar.

Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt und täglich auf einen Exploit gewartet (siehe BlueKeep-Warnung: Exploit dürfte bald kommen). Nun ist es offenbar passiert, wie man nachfolgendem Tweet entnehmen kann.

Exploit for wormable Bluekeep Windows bug released into the wild https://t.co/1mCiPR5ZeF by @dangoodin001

— Ars Technica (@arstechnica) September 6, 2019

Der Exploit ist 'wurmartig', d.h. die Infektion eines Computers reicht, um die Malware über das Netzwerk zu verbreiten. Einige Informationen sind zudem bei Bleeping Computer abrufbar.

Work of Programm auf GitHub

Auf GitHub wurde der Code für einen BlueKeep-Exploit als 'Work in Progress' veröffentlicht. Der Exploit nutzt die Schwachstelle CVE-2019-0708, alias BlueKeep, über RDP im Windows-Kernel aus. Der Autor des Exploits schreibt, dass der RDP Treiber termdd.sys Bindungen an den internen Kanal MS_T120 unsachgemäß behandelt. Dadurch kann eine fehlerhafte Disconnect Provider Indication-Nachricht einen use-after-free-Fehler auslösen. Mit einem steuerbaren Data/Size Remote nonpaged Pool Spray wird ein indirektes Call-Gadget des freigegebenen Kanals verwendet, um eine beliebige Codeausführung zu erreichen.

Das Modul funktioniert derzeit mit 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2. Für Windows Server 2008 R2 muss allerdings ein Registrierungseintrag geändert werden, um das Heap Grooming über den RDPSND-Kanal zu ermöglichen. Der Autor schreibt, dass es noch andere Möglichkeiten gibt, um alternative Kanäle zu verwenden, die standardmäßig auf allen Windows-Betriebssystemen aktiviert sind.

Das Modul wird derzeit als manuell eingestuft, da der Benutzer zusätzliche Zielinformationen eingeben muss. Andernfalls besteht die Gefahr, dass der Zielhost abstürzt. Das Modul implementiert eine standardmäßige TARGET-Option, die nur nach einem anfälligen Host sucht und einige erste Informationen über das spezifische Zielbetriebssystem anzeigt. Für einen Angriff muss der Benutzer aber ein genaueres Ziel angeben. Spätere bis weitere Verbesserungen in diesem Modul könnten eine genauere Bestimmung des Speicherlayouts des Zielsystems zur Laufzeit ermöglichen.

Hintergrund zur BlueKeep-Schwachstelle

Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2.

Es gibt zwar einen Patch, aber dieser wurde nicht in allen Systemen installiert. Aktuell schätzt man, dass noch ca. 800.000 Systeme ungepatcht betrieben werden und per Internet erreichbar sind (siehe Windows: Wie steht's um die BlueKeep-Schwachstelle im Juli 2019? ).

In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Windows: Bluekeep-Metasploit öffentlich verfügbar

Work of Programm auf GitHub

Hintergrund zur BlueKeep-Schwachstelle

Schreibe einen Kommentar Antworten abbrechen

Suchen

Blogs auf Borncity

Links

Seiten

Kategorien

Sponsoren

Blogroll

Websites

Soziale Netzwerke-Seiten

Foren

Neueste Kommentare