Microsofts Meltdown-Patch erzeugt BlueKeep BSODs

Publiziert am 12. November 2019 von Günter Born

Interessante Erkenntnis: Der Exploit für die BlueKeep-Schwachstelle, der kürzlich für Angriffe benutzt wurde, erzeugt auf einigen Windows-Maschinen nur deshalb einen BlueScreen, weil die Entwickler keinen Meltdown-Support integriert haben.

Anzeige

Worum geht es?

Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. Ich hatte seit Monaten einen Angriff über die BlueKeep-Schwachstelle erwartet (siehe BlueKeep-Warnung: Exploit dürfte bald kommen).

Sicherheitsforscher Kevin Beaumont hatte nach dem Bekanntwerden der BlueKeep-Schwachstelle und der Verfügbarkeit erster Exploits ein weltweites Netz von Honeypots für die RDP-Schwachstelle aufgesetzt. Im Oktober 2019 stellte der Sicherheitsforscher plötzlich fest, dass die virtuellen Maschinen mit diesen Honeypots plötzlich BlueScreens warfen. Eine Analyse ergab, dass dort offenbar Angriffe über die RDP-BlueKeep-Schwachstelle auf die Honeypots versucht wurden. Ziel war es, einen Crypto-Miner auf den Systemen zu installieren.

Ich hatte im Blog-Beitrag Windows: Erste BlueKeep-Angriffe gesichtet darüber berichtet. Aus diesem Anlass hat Microsoft nochmals seine Warnung vor der BlueKeep-Schwachstelle verstärkt (siehe Neue Warnungen vor BlueKeep von Microsoft & Co.) und empfiehlt die Windows-Systeme schnellstmöglich zu patchen. Updates stehen für betroffene Windows-Versionen bereit (siehe Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2).

Meltdown-Patch erzeugt BlueScreens

Nun hat eine Analyse der Angriffe offen gelegt, warum der BlueKeep-Exploit auf den Honeypots einen BlueScreen ausgelöst hat. Catalin Cimpanu fasst es in seinem nachfolgenden Tweet zusammen.

Die Malware-Autoren der letzten Angriffe haben das BlueKeep Metasploit-Modul aus einem Proof-of-Concept-Code zusammengestellt, der vom RiskSense-Sicherheitsforscher Sean Dillon (@zerosum0x0) im Sommer veröffentlicht wurde. Der Exploit funktioniert zwar prinzipiell, hat aber einen Nachteil. Auf einigen Systemen erzeugt der Exploit einen Blue Screen of Death (BSOD)-Fehler der das System abstürzen lässt, anstatt den Angreifern eine Remote-Shell zu öffnen.

Nach einer Analyse von Sicherheitsforscher Sean Dillon tritt der BlueScreen nur auf, weil die Autoren des Exploits keine Kernel-Unterstützung von Windows-Maschinen mit installiertem Meltdown-Patch implementiert haben.

Laut diesem ZDNet-Beitrag von Catalin Cimpanu wird das BlueKeep Metasploit-Module diese Woche aber noch einen Fix für diesen Bug bekommen. Damit macht der Fix den Exploit für BlueKeep-Angriffe zuverlässiger. Es könnte also sein, dass wir bald erfolgreichere BlueKeep-Angriffe sehen werden.

Anzeige

Hintergrund zur BlueKeep-Schwachstelle

Über die BlueKeep-Schwachstelle CVE-2019-0708 hatte ich in diversen Blog-Beiträgen berichtet. Eine Erklärung zur Schwachstellen findet sich im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2. Es gibt zwar einen Patch für die betroffenen Systeme, aber dieser wurde nicht auf allen Systemen installiert.

In meinem Blog-Beitrag How To: BlueKeep-Check für Windows habe ich beleuchtet, wie sich ein System sowohl lokal auf installierte Patches als auch in einem Netzwerk auf die Schwachstellen scannen lässt. Kevin Beaumont schlägt vor, dass Unternehmen alle ungepatchten Systeme (Endpunkte), die direkt im Internet für das Remote Desktop Protocol verfügbar sind, herunterfahren, bis sie gepatcht sind.

Ähnliche Artikel:
How To: BlueKeep-Check für Windows
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
Windows: Erste BlueKeep-Angriffe gesichtet
Neue Warnungen vor BlueKeep von Microsoft & Co.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.