{"id":218560,"date":"2019-05-29T00:10:00","date_gmt":"2019-05-28T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218560"},"modified":"2021-12-23T09:37:46","modified_gmt":"2021-12-23T08:37:46","slug":"fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/29\/fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar\/","title":{"rendered":"Fast 1 Million Windows-Maschinen &uuml;ber BlueKeep-Schwachstelle angreifbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/05\/29\/nearly-1-million-windows-machines-with-bluekeep-vulnerability\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Fast eine Million Systeme mit Windows XP bis Windows 7 sowie den Server-Pendants sind per Internet erreichbar und wegen fehlendem Update per BlueKeep-Schwachstelle angreifbar.<\/p>\n<p><!--more--><\/p>\n<h2>BlueKeep-Schwachstelle: Das Risiko steigt<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/6fbc0a7536b44befa79eb3e3d7e346af\" alt=\"\" width=\"1\" height=\"1\" \/>Die seit dem 14. Mai 2019 bekannte Schwachstelle CVE-2019-0708 k\u00f6nnte sich bald zu einer der gr\u00f6\u00dften Sicherheitsbedrohungen f\u00fcr Windows-Systeme seit WannaCry und NotPetya entwickeln. Denn immer noch sind viele Windows-Systeme nicht mit den erforderlichen Sicherheitsupdates versorgt.<\/p>\n<p>Noch ist die Lage 'relativ entspannt', da mir bisher kein \u00f6ffentlich verf\u00fcgbarer Exploit bekannt ist, mit dem man die Schwachstelle zur Verbreitung von Malware per Netzwerk ausnutzen k\u00f6nnte. Das ist aber eine Frage der Zeit. Und im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/27\/angreifer-scannen-windows-systeme-auf-bluekeep-lcke\/\">Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a> hatte ich berichtet, dass wohl ein Angreifer schon mal damit begonnen hat, Netzwerke \u00fcber einen Tor-Knoten nach verwundbaren Windows-Rechnern zu scannen.<\/p>\n<h3>Ein erster BlueKeep-Scanner<\/h3>\n<p>Sicherheitsforscher Kevin Beaumont hat einen Scanner geschrieben, mit dem man Netzwerksegmente auf die BlueKeep-Schwachstelle testen kann.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Unauthenticated CVE-2019-0708 (RDP RCE) scanner PoC from <a href=\"https:\/\/twitter.com\/JaGoTu?ref_src=twsrc%5Etfw\">@JaGoTu<\/a> and I. Can be automated to check your systems or pad your pentest report this week. <a href=\"https:\/\/twitter.com\/metasploit?ref_src=twsrc%5Etfw\">@Metasploit<\/a> port in progress. Submit fixes not tixes.<a href=\"https:\/\/t.co\/hjsPQdmI2w\">https:\/\/t.co\/hjsPQdmI2w<\/a> <a href=\"https:\/\/t.co\/eOrNm3TRHe\">pic.twitter.com\/eOrNm3TRHe<\/a><\/p>\n<p>\u2014 z\u01dd\u0279osum0x0 (@zerosum0x0) <a href=\"https:\/\/twitter.com\/zerosum0x0\/status\/1130998809201299456?ref_src=twsrc%5Etfw\">22. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das Ganze ist als Docker-Projekt angelegt und <a href=\"https:\/\/web.archive.org\/web\/20211114050754\/https:\/\/github.com\/zerosum0x0\/CVE-2019-0708\" target=\"_blank\" rel=\"noopener noreferrer\">auf GitHub<\/a> verf\u00fcgbar. Da ich hier keine Docker-Infrastruktur habe, konnte ich da nichts selbst testen. Aber Kevin Beaumont weist in nachfolgendem Tweet darauf hin, dass die Brisanz zunimmt.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">A warning re CVE-2019-0708 aka BlueKeep.<\/p>\n<p>There are significantly higher number of internet accessible devices vulnerable than vulnerable to MS17-010 during WannaCry. I have scan results from back then using <a href=\"https:\/\/twitter.com\/zerosum0x0?ref_src=twsrc%5Etfw\">@zerosum0x0<\/a>'s scanner (they also wrote the BlueKeep scanner).<\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1133387401068449792?ref_src=twsrc%5Etfw\">28. Mai 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Er hat bei Scans eine signifikant h\u00f6here Anzahl an Windows-Systemen gefunden, die Anf\u00e4llig f\u00fcr die BlueKeep-Schwachstelle sind, als seinerzeit bei der EternalBlue-Schwachstelle (MS17-010), die 2017 f\u00fcr den WannaCry-Ransomware-Ausbruch verantwortlich war. Nicht gerade beruhigende Nachrichten.<\/p>\n<h3>Eine Million Maschinen ungepatcht<\/h3>\n<p>Robert Graham, Leiter des Sicherheitsforschungsunternehmens Errata Security, hat ebenfalls einen Internet-Scan auf die BlueKeep-Schwachstelle durchgef\u00fchrt. Daf\u00fcr hat er das Tool <a href=\"https:\/\/github.com\/robertdavidgraham\/masscan\" target=\"_blank\" rel=\"noopener noreferrer\">masscan<\/a> benutzt, um erst einmal Maschinen mit Port 3389 (wird von Remote Desktop benutzt) zu finden. Nach einigen Stunden erhielt er 7 Millionen Treffer. Mit weiteren Tools rdpscan hat er diese Liste dann auf Windows-Systeme, die per BlueKeep angreifbar war, getestet. Wie er <a href=\"https:\/\/blog.erratasec.com\/2019\/05\/almost-one-million-vulnerable-to.html#.XO14OPkzaUm\" target=\"_blank\" rel=\"noopener noreferrer\">hier schreibt<\/a>, kam er auf fast 1 Million ungepatchte Systeme. Konkret sind es wohl rund 950.000 \u00f6ffentlich im Internet zug\u00e4ngliche Computer, die f\u00fcr den BlueKeep-Bug anf\u00e4llig sind. The Hacker News hat das Ganze <a href=\"https:\/\/thehackernews.com\/2019\/05\/bluekeep-rdp-vulnerability.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier aufbereitet<\/a>.<\/p>\n<p>Da die BlueKeep-Schwachstelle eine \u00dcbernahme der Systeme durch einen Angreifer erm\u00f6glicht und das Ganze f\u00fcr eine wurmartige-Verbreitung genutzt werden kann, droht wohl Gefahr f\u00fcr Ransomware-Angriffe, die Techniken wie bei NotPetya und WannaCry nutzen. Es ist m\u00f6glicherweise nur eine Frage der Zeit. Das BSI hatte vor einigen Tagen bereits eine deutliche Warnung ausgesprochen \u2013 siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a>, wo ich auch die verf\u00fcgbaren Updates verlinkt habe.<\/p>\n<p>Robert Graham geht davon aus, dass Hacker binnen einem oder zwei Monaten einen robusten Exploit entwickeln k\u00f6nnen, der diese Schwachstelle ausnutzt. Und dann ist mir einem Ausbruch von Malware zu rechnen, der diese 1 Million Rechner bef\u00e4llt. Graham schreibt:<\/p>\n<blockquote><p>Dies wird wahrscheinlich zu einem Ereignis f\u00fchren, das so sch\u00e4dlich ist wie WannaCry und notPetya von 2017 &#8211; m\u00f6glicherweise noch schlimmer, da Hacker inzwischen ihre F\u00e4higkeiten verfeinert haben, diese Dinge f\u00fcr L\u00f6segeld und andere Sch\u00e4ndlichkeiten zu nutzen.<\/p><\/blockquote>\n<p>Es bleibt nur die Option, die Leute auf die M\u00f6glichkeit zum Patchen der betroffenen Windows-Systeme hinzuweisen. Denn Microsoft hat am 14. April 2019 entsprechende Updates zum Schlie\u00dfen der Schwachstelle bereitgestellt. Ich hatte im Blog-Beitrag Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a> die verf\u00fcgbaren Updates f\u00fcr die betroffenen Windows-Versionen verlinkt.<\/p>\n<h2>Die Schwachstelle CVE-2019-0708<\/h2>\n<p>Die Schwachstelle mit der Bezeichnung CVE-2019-0708 besteht in den Remote Desktop Services \u2013 fr\u00fcher bekannt als Terminal Services \u2013 von Windows. Ein nicht authentifizierter Angreifer kann sich \u00fcber spezielle Anfragen \u00fcber RDP mit einem Zielsystem verbinde. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.<\/p>\n<p>Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, k\u00f6nnte beliebigen Code auf dem Zielsystem ausf\u00fchren. Dazu geh\u00f6rt auch, Programme zu installieren, Daten anzuzeigen, zu \u00e4ndern oder zu l\u00f6schen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:<\/p>\n<ul>\n<li>Windows XP<\/li>\n<li>Windows Server 2003<\/li>\n<li>Windows Vista<\/li>\n<li>Windows 7<\/li>\n<li>Windows Server 2008<\/li>\n<li>Windows Server 2008 R2<\/li>\n<\/ul>\n<p>Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 ver\u00f6ffentlichte Microsoft ein Sicherheitsupdate f\u00fcr \u00e4ltere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schlie\u00dft (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a>, wo die Updates verlinkt sind).<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/27\/angreifer-scannen-windows-systeme-auf-bluekeep-lcke\/\">Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Fast eine Million Systeme mit Windows XP bis Windows 7 sowie den Server-Pendants sind per Internet erreichbar und wegen fehlendem Update per BlueKeep-Schwachstelle angreifbar.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,3288],"class_list":["post-218560","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218560","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218560"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218560\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218560"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218560"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218560"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}