Fast 1 Million Windows-Systeme (Errata Security) sind immer noch nicht gepatcht und wurden zwei Wochen nach der Veröffentlichung des Sicherheits-Patches durch Microsoft für anfällig bei der Ausführung von Remote-Code im Windows Remote Desktop Protocol (RDP) befunden.

Die als „BlueKeep“ bezeichnete und als CVE-2019-0708 verfolgte Sicherheitslücke betrifft die Editionen von Windows 2003, XP, Windows 7, Windows Server 2008 und 2008 R2 und könnte sich automatisch auf ungeschützten Systemen verbreiten. Die Schwachstelle macht es einem nicht authentifizierten Angreifer möglich, beliebigen Code auszuführen und die Kontrolle über einen bestimmten Computer zu übernehmen, indem er einfach speziell gestaltete Anfragen über das RDP an den Remote Desktop Service (RDS) des Geräts sendet – ohne dass ein Benutzer eingreifen muss.

Wurm ist schwerwiegender als WannaCry und NotPetya

Wenn diese Sicherheitslücke ausgenutzt wird, könnte sie es Angreifern ermöglichen, Verwüstungen auf der ganzen Welt anzurichten, die möglicherweise viel schwerwiegender sind, als das, was WannaCry und NotPetya 2017 angerichtet haben. Hacker haben inzwischen ihre Fähigkeiten verfeinert, diese Angriffe für Lösegeldforderungen und anderes erbärmliches Tun zu nutzen. Hacker werden wahrscheinlich in den nächsten ein oder zwei Monaten eine robuste Angriffsmöglichkeit herausfinden und mit den gekaperten Maschinen Chaos anrichten.

Microsoft veröffentlichte einen Sicherheitsfix, um die Schwachstelle mit seinen Patch Tuesday-Updates vom Mai 2019 zu beheben. Leider haben aber eben nicht jeder Benutzer und jede Organisation den Patch tatsächlich installiert, was ein massives Risiko für private Anwender, Organisationen, Industrieunternehmen und Gesundheitseinrichtungen darstellt, wenn sich der „Wurm“ ins System frisst.

Der Scan von anfälligen Systemen hat begonnen

Laut GreyNoise Intelligence sind schon umfangreiche Tests für Systeme, die für die Schwachstelle des RDP „BlueKeep“ (CVE-2019-0708) anfällig sind, beobachtet worden. Daher ist nun der Zeitpunkt gekommen die Schwachstellen zu beheben. Sollte dies in der Kürze der Zeit nicht möglich sein, bietet sich Folgendes als Entschärfung an:

  • Deaktivieren Sie RDP-Dienste, wenn nicht erforderlich.
  • Blockieren Sie den Port 3389 mit einer Firewall oder machen Sie ihn nur über ein privates VPN zugänglich.
  • Network Level Authentication (NLA) aktivieren

Sollte es zu spät für etwaige Maßnahmen sein, bleibt nur noch IT-Forensik.