DejaBlue: Neue Fehler im BlueKeep-Stil bedeuten, dass Sie Windows jetzt aktualisieren müssen


Seit Monaten bemühen sich Systemadministratoren darum, ihre Windows-Systeme gegen BlueKeep zu patchen, eine kritische Sicherheitslücke im Remotedesktopprotokoll von Microsoft, die einen globalen Internet-Wurm auslösen könnte, wenn er nicht auf Hunderttausenden anfälliger Computer behoben wird. Dieser Wurm muss noch kommen. Aber jetzt hat Microsoft die Uhr in diesem Rennen zurückgesetzt und eine Sammlung neuer RDP-Sicherheitslücken aufgedeckt, von denen zwei ebenfalls zu der gleichen Art von globalem Wurm führen könnten – und diesmal zu neueren Versionen von Windows.

Microsoft warnte Windows-Benutzer heute vor sieben neuen Sicherheitslücken in Windows, die wie BlueKeep über RDP ausgenutzt werden können, ein Tool, mit dem Administratoren eine Verbindung zu anderen Computern in einem Netzwerk herstellen können. In der Empfehlung von Microsoft wurde unter diesen sieben Fehlern hervorgehoben, dass zwei besonders schwerwiegend sind. Wie BlueKeep könnten sie verwendet werden, um einen automatisierten Wurm zu codieren, der von Maschine zu Maschine springt und möglicherweise Millionen von Computern infiziert. Wie Simon Pope, Director of Incident Response Center bei Microsoft, schreibt, "könnte sich jede zukünftige Malware, die diese ausnutzt, ohne Benutzerinteraktion von einem anfälligen Computer auf einen anfälligen Computer ausbreiten."

"Es fängt wieder von vorne an."

Rob Graham, Errata-Sicherheit

Im Gegensatz zu BlueKeep betreffen die neuen Fehler, die von Sicherheitsforschern im Scherz DejaBlue genannt wurden, jedoch nicht nur Windows 7 und frühere Versionen, wie dies bei der früheren RDP-Sicherheitsanfälligkeit der Fall war. Stattdessen betrifft es Windows 7 und höher, einschließlich aller neueren Versionen des Betriebssystems.

Marcus Hutchins, ein Sicherheitsforscher, der die RDP-Sicherheitslücken genau verfolgt und ein Proof-of-Concept-Tool für die Ausnutzung von BlueKeep programmiert hat, gibt an, dass möglicherweise mehr Computer für DejaBlue anfällig sind als für BlueKeep. Zu diesem Zeitpunkt muss fast jeder moderne Windows-Computer patchen, bevor Hacker diese Fixes auf Hinweise zurückentwickeln können, die beim Erstellen von Exploits hilfreich sein könnten.

"Leute, die seit jeher kein Upgrade durchgeführt haben, sind vielleicht ein bisschen sicherer, aber ich stelle mir einen viel größeren Pool an Computern vor, die dafür anfällig sind", sagt Hutchins. "Wenn Sie auch BlueKeep berücksichtigen, verschärft dies natürlich nur das Problem."

Im Gegensatz zu BlueKeep, dessen Entdeckung Microsoft dem britischen Geheimdienst GCHQ gutgeschrieben hat, gibt Microsoft an, diese neuen Fehler selbst gefunden und behoben zu haben. "Diese Sicherheitsanfälligkeiten wurden von Microsoft während der Absicherung von Remotedesktopdiensten entdeckt, um die Sicherheit unserer Produkte kontinuierlich zu verbessern", so Microsoft. "Derzeit liegen uns keine Beweise dafür vor, dass diese Sicherheitslücken Dritten bekannt waren." Microsoft hat nicht sofort auf eine Anfrage nach einem Kommentar geantwortet.

Seit BlueKeep am 14. Mai öffentlich angekündigt wurde, hat die Sicherheitsbranche die Benutzer dazu veranlasst, mit uneinheitlichen Ergebnissen zu patchen: Nach der Zählung im letzten Monat waren zwischen 730.000 und 800.000 Computer weiterhin für BlueKeep anfällig. Rob Graham, Sicherheitsforscher und Gründer von Errata Security, baute im Mai einen Scanner, um die Anzahl der für BlueKeep anfälligen Computer zu messen. Zunächst wurden fast eine Million anfälliger Computer gefunden. Er schätzt nun, dass die Anzahl der für die neuen RDP-Bugs anfälligen Computer wahrscheinlich im selben Ballpark liegt. "Es fängt wieder von vorne an", sagt Graham.

Graham weist jedoch darauf hin, dass eine Einstellung namens "Authentifizierung auf Netzwerkebene" auf Windows-Computern die Ausnutzung der neuen Fehler verhindert. Bei seinen vorherigen Scans fand er insgesamt 1,2 Millionen Windows-Computer, auf denen diese Einstellung aktiviert war. Es ist jedoch nicht klar, welche Windows-Versionen auf diesen Computern ausgeführt werden oder auf wie vielen anderen Computern NLA nicht aktiviert ist.

Die gute Nachricht ist, dass Windows standardmäßig automatische Updates anbietet. diejenigen, bei denen diese Funktion aktiviert ist, sollten in Kürze behandelt werden, sofern dies nicht bereits geschehen ist. Jeder, der dies deaktiviert hat, sollte NLA jetzt aktivieren und hier einen Patch gegen die neuen RDP-Fehler herunterladen.

Als BlueKeep zum ersten Mal auftauchte, warnten Sicherheitsforscher und sogar Microsoft selbst, dass es innerhalb weniger Wochen in einen weitverbreiteten Wurm integriert werden könnte, der so schwerwiegend sein könnte wie WannaCry oder NotPetya, da böswillige Hacker schneller vorankamen als die große Anzahl gefährdeter Benutzer, die Patches durchführen mussten . Seitdem sind drei Monate vergangen, ohne dass ein Wurm in Sicht war. Allerdings hacken möglicherweise bereits mehr heimliche Hacker RDP in geheimen, gezielten Angriffen. Das Fehlen des erwarteten Wurms ist nach Ansicht einiger Forscher auf die Zurückhaltung der Sicherheitsforscher zurückzuführen, die weitgehend auf die Veröffentlichung von Proof-of-Concept-Hacking-Tools verzichteten, die BlueKeep nutzen. Darüber hinaus sind nur wenige Details über die Funktionsweise von BlueKeep bekannt geworden, und es scheint überraschend schwierig zu sein, darauf basierend ein zuverlässiges Eindringen zu erstellen.