11.06.2019

Windows-Lücke BlueKeep: Grossflächiger Virenagriff befürchtet

Sicherheitsexperten warnen vor einer neuen Virenattacke mit massivem Umfang. Bedroht sind offenbar beinahe eine Million Windows-Rechner. Grund für die Warnung ist eine kritische Lücke in den Remote Desktop Services von Microsoft. Die Ausganglage erinnert an den WannaCry-Virus.

Gemäss einer Analyse des Sicherheits-Experten Robert Graham steht ein grossräumiger Angriff auf Windows-Rechner durch einen so genannten Wurm unmittelbar bevor. Zu diesem Schluss kommt Graham nach einer Überprüfung sämtlicher IPv4-Adressen, in deren Rahmen er auf 950‘000 verwundbare Maschinen im öffentlichen Internet gestossen ist, auf denen jeweils eine ungepatchteVersion des RDP-Servers von Windows betrieben wird. Allerdings dürfte die tatsächliche Anzahl verwundbarer Systeme deutlich höher liegen, weil nur Rechner geprüft wurden, die via Internet erreichbar sind.

Das Problem bei den betroffenen Systemen ist die kritische Sicherheitslücke CVE-2019-0708, die auch unter der Bezeichnung «BlueKeep» seit einigen Wochen zweifelhafte Bekanntheit geniesst. Geschlossen wurde die Lücke durch Microsoft zwar bereits im Rahmen des Mai-Patchday, doch offenbar haben längst nicht alle Nutzer den entsprechenden Patch installiert.

Hohes Verbreitungsrisiko – die NSA warnt

Laut dem Online-Magazin heise.de ist die Schwachstelle sehr gefährlich, da Angreifer sie nutzen können, um aus Distanz schädlichen Code in ein System einzuschleusen. Dadurch soll sie ein ideales Schlupfloch für Würmer bieten, die sich selbstständig von einem System auf das nächste verbreiten. Das Risiko ist umso grösser, weil über einen einzigen, infizierten Rechner in einem Netzwerk das ganze System lahmgelegt werden kann.

Nicht von ungefähr hat auch die amerikanische NSA einen Warnhinweis zu BlueKeep veröffentlicht. Die nationale US-Sicherheitsagentur empfiehlt dringend, alle Windows-Updates vorzunehmen. Auch zusätzliche Sicherheitsmassnahmen werden angeraten, wie etwa die Blockierung von TCP-Port 3389 und die Aktivierung der Network Level Authentication (NLA). Sofern nicht verwendet, sollten Nutzer auch die RDP-Services komplett deaktivieren, so die NSA.

WannaCry lässt grüssen

Erfahrungen aus der Vergangenheit bezeugen die Gefahr, die von derartigen Lücken (und Würmern) ausgeht. So fielen im Jahr 2017 bereits nach einer relativ kurzen Umlaufdauer von drei Tagen hunderttausende Rechner dem WannaCry-Virus zum Opfer – eine Zahl, die sich später auf mehrere Millionen erhöhte und hohe, allerdings nur schwer bezifferbare Schäden für die betroffenen Nutzer zur Folge hatte.

Entsprechend mahnt auch Microsoft Windows-Nutzer, alle aktuellen Sicherheitsupdates zu installieren. Weil das Risiko eines grossflächigen Angriffs nicht unterschätzt werden darf, haben die Redmonder sogar Patches für XP und Vista zur Verfügung gestellt, die eigentlich nicht mehr mit Updates unterstützt werden. Betroffen von BlueKeep / CVE-2019-0708 sind – mit Ausnahme von Windows 8 und 10 – alle Windows-Client- und Windows-Server-Versionen bis und mit Windows 7 sowie Windows-Server 2008.