Sicherheitslücke wie Wanna Cry: Bluekeep-Exploit veröffentlicht
Im Mai warnte Microsoft vor Bluekeep , einer Sicherheitslücke ähnlich wie Wanna Cry. Die Sicherheitsfirma Immunity hat nun einen Exploit entwickelt, der die Sicherheitslücke ausnutzt, und sie in das hauseigene Pentesting-Tool Canvas integriert. Mit dem Bluekeep-Modul lässt sich eine Shell auf einem ungeschützten Windows-Rechner starten - aus der Ferne und ohne Nutzerinteraktion. Auch Schadsoftware scannt bereits nach verwundbaren Systemen. Zuerst hatte das Onlinemagazin Bleepingcomputer darüber berichtet(öffnet im neuen Fenster) .
Die Veröffentlichung des Exploits ist umstritten. Bisher wurden vor allem gefälschte Exploits veröffentlicht. Sicherheitsforscher, die einen entsprechenden Exploit geschrieben hatten, hielten sich aufgrund der hohen Gefahr mit einer Veröffentlichung zurück.
Über die Lücke im RDP-Service von Windows lässt sich aus der Ferne Schadcode auf betroffenen Windows-Systemen ausführen, ohne dass eine Authentifizierung am System oder eine Nutzerinteraktion notwendig ist. Ein Computerwurm könnte sich über die Sicherheitslücke selbstständig von verwundbarem Computer zu verwundbarem Computer weiterverbreiten. Obwohl Bluekeep bereits gepatcht wurde, konnte der Sicherheitsforscher Robert Graham Ende Mai Millionen verwundbarer Systeme finden.
Im Unterschied zu vielen anderen Sicherheitsfirmen fügte Immunity seiner Pentesting-Software nicht nur einen Scanner hinzu, der nach verwundbaren Systemen sucht, sondern gleich einen Exploit, mit dem sich die Sicherheitslücke ausnutzen lässt. "Viele moderne Systeme führen eine Anomalieerkennung des Netzwerkverkehrs oder eine Verhaltensanalyse des Endpunktes durch, um die Ausnutzung von Fehlern wie Bluekeep zu erfassen. Das Testen dieser Art von Systemen erfordert einen funktionierenden RCE-Exploit," verteidigt Intezer seine Entscheidung.
Schadsoftware scannt bereits nach Bluekeep
Eine neue Variante der Schadsoftware Watchbog(öffnet im neuen Fenster) , die eigentlich Linux-Server mit verwundbarer Software attackiert, scannt bereits nach Windows-Systemen, bei welchen die Bluekeep-Sicherheitslücke noch nicht gepatcht wurde. Die Funktion wurde von der Sicherheitsfirma Intezer entdeckt. Die Liste verwundbarer Systeme könnte von den Autoren der Schadsoftware entweder verkauft oder als Vorbereitung für Angriffe mit einem Bluekeep-Exploit genutzt werden, vermutet Intezer bei Bleepingcomputer.
Betroffen sind die etwas älteren Betriebssysteme Windows 7, Windows Server 2008 R2 und Windows Server 2008 auch die nicht mehr unterstützten Betriebssysteme Windows XP und 2003. Windows 8 und 10 sind von der Sicherheitslücke nicht betroffen. Selbst die eigentlich nicht mehr unterstützten Systeme erhalten aufgrund der Gefährlichkeit der Sicherheitslücke Updates(öffnet im neuen Fenster) . Diese sollten umgehend eingespielt werden.