Fast 1 Million Windows-Computer noch anfällig für BlueKeep RDP Sicherheitslücke

Fast 1 Million Windows-Systeme sind immer noch nicht gepatcht und wurden zwei Wochen nach der Veröffentlichung des Sicherheitspatches durch Microsoft für anfällig für eine kürzlich bekannt gegebene kritische Schwachstelle bei der Ausführung von Remote-Code im Windows Remote Desktop Protocol (RDP) befunden.

Wenn sie ausgenutzt wird, könnte die Schwachstelle es einem Angreifer ermöglichen, leicht Verwüstungen auf der ganzen Welt anzurichten, was möglicherweise viel schlimmer ist als das, was WannaCry und NotPetya 2017 mit entwurmbaren Angriffen gemacht haben.

Die als BlueKeep bezeichnete und als CVE-2019-0708 verfolgte Sicherheitslücke betrifft die Editionen von Windows 2003, XP, Windows 7, Windows Server 2008 und 2008 R2 und könnte sich automatisch auf ungeschützten Systemen verbreiten.

Die Schwachstelle könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, beliebigen Code auszuführen und die Kontrolle über einen bestimmten Computer zu übernehmen, indem er einfach speziell gestaltete Anfragen über das RDP an den Remote Desktop Service (RDS) des Geräts sendet - ohne dass ein Benutzer eingreifen muss.

Microsoft beschrieb die BlueKeep-Schwachstelle als kritisch, die es Malware ermöglichen könnte, sich auf anfällige Systeme wie WannaCry zu verbreiten, und veröffentlichte einen Sicherheitsfix, um die Schwachstelle mit seinen Patch Tuesday-Updates vom Mai 2019 zu beheben.

Die jüngste Internet-Suche von Robert Graham, Leiter des offensiven Sicherheitsforschungsunternehmens Errata Security, ergab jedoch, dass leider rund 950.000 öffentlich zugängliche Computer im Internet für den BlueKeep-Bug anfällig sind.

Das bedeutet eindeutig, dass auch nach dem Auspacken des Sicherheitspatches nicht jeder Benutzer und jede Organisation es eingesetzt hat, um das Problem anzugehen, was ein massives Risiko für Einzelpersonen und Organisationen, einschließlich Industrie- und Gesundheitsumgebungen, darstellt.

Graham benutzte "rdpscan", ein schnelles Scan-Tool, das er auf seinem Masscan-Portscanner aufbaute, der das gesamte Internet nach Systemen durchsuchen kann, die noch anfällig für die BlueKeep-Schwachstelle sind, und fand ganze 7 Millionen Systeme, die auf Port 3389 lauschten, von denen etwa 1 Million Systeme noch anfällig sind.

"Hacker werden wahrscheinlich in den nächsten ein oder zwei Monaten einen robusten Angriff herausfinden und mit diesen Maschinen Chaos anrichten", sagt der Forscher.
"Das bedeutet, wenn der Wurm trifft, wird er wahrscheinlich diese Millionen Geräte gefährden. Dies wird wahrscheinlich zu einem Ereignis führen, das so schädlich ist wie WannaCry und notPetya von 2017 - möglicherweise noch schlimmer, da Hacker inzwischen ihre Fähigkeiten verfeinert haben, diese Dinge für Lösegeld und andere Schändlichkeiten zu nutzen."

Die BlueKeep-Schwachstelle hat so viel Potenzial, weltweit verheerende Auswirkungen zu haben, dass Microsoft gezwungen wurde, Patches nicht nur für die unterstützten Windows-Versionen, sondern auch für Windows XP, Windows Vista und Windows Server 2003 zu veröffentlichen, die vom Unternehmen nicht mehr Mainstream-Support erhalten, aber dennoch weit verbreitet sind.

Nicht nur Forscher, bösartige Hacker und Cyberkriminelle haben auch begonnen, das Internet nach anfälligen Windows-Systemen zu durchsuchen, um sie mit Malware zu infizieren, sagte GreyNoise Intelligence.

"GreyNoise beobachtet umfangreiche Tests für Systeme, die für die Schwachstelle des RDP "BlueKeep" (CVE-2019-0708) anfällig sind, von mehreren Dutzend Hosts im Internet. Diese Aktivität wurde ausschließlich von Tor-Austrittsknoten aus beobachtet und wird wahrscheinlich von einem einzigen Akteur ausgeführt", sagt der Tweet.

Glücklicherweise hat bisher jedoch noch kein Sicherheitsforscher einen Proof-of-Concept-Exploit-Code für BlueKeep öffentlich veröffentlicht, obwohl einige von ihnen bestätigt haben, dass sie einen funktionierenden Exploit erfolgreich entwickelt haben.

Wenn die Behebung des Fehlers in Ihrer Organisation nicht früher möglich ist, dann können Sie diese Milderungen vornehmen:

  • Deaktivieren Sie RDP-Dienste, wenn nicht erforderlich.
  • Blockieren Sie den Port 3389 mit einer Firewall oder machen Sie ihn nur über ein privates VPN zugänglich.
  • Network Level Authentication (NLA) aktivieren - dies ist eine teilweise Abschwächung, um zu verhindern, dass ein nicht authentifizierter Angreifer diesen  Fehler ausnutzt.