25.07.2019 10:49
BlueKeep, mal wieder
Das "Schöne" an der IT ist, dass uns manche Themen längerfristig begleiten. So auch die Schwachstelle mit der CVE-Nummer 2019-0708, besser bekannt unter dem Namen "BlueKeep".Wir haben davor gewarnt und darüber gebloggt - und Letzteres muss leider wieder sein.Relativ kurz nach Bekanntwerden der Schwachstelle gab es ersten Code, der zur Erkennung der Schwachstelle genutzt werden konnte, und potentiell einen Crash auslöste. Eine Woche später gab es bereits mehrere stabile Scanner, und einige weniger stabile PoCs, die garantiert einen Crash auslösten. Stabile Codeausführung war einigen wenigen Sicherheitsforschern und, Gerüchten zufolge, diversen Firmen die kommerziell Malware an Staaten verkaufen vorbehalten. Dies könnte sich jetzt zeitnah ändern, denn Mitarbeiter der Firma Tencent haben die Slides ihres Vortrages auf einer Konferenz veröffentlicht, in welchem Sie detailliert Codeausführung durch Ausnutzung dieser Schwachstelle erklären. Dies senkt die Hürde für ein Ausnutzen der Schwachstelle in Schadsoftware massiv, und bringt uns einige Schritte näher an den initial befürchteten "BlueKeep-Wurm".Deswegen erneut der Aufruf: Patchen, patchen und nochmal patchen. Die initiale Veröffentlichung ist nun mehr als zwei Monate her, die Patches sind getestet und eindeutig stabil. Es gibt kaum einen Grund, nichts zu unternehmen. Und falls aus wie auch immer gearteten Gründen kein Patchen möglich sein sollte, dann bitte zumindest sonstige Vorsichtsmassnahmen treffen, Firewalls und VPNs sind hier die Mittel der Wahl.Und auch wenn sich in Ihrem Netzwerk keine nach aussen sichtbaren, verwundbaren RDP-Server befinden, so ist es mehr als angebracht, auch interne RDP-Server zu patchen. Man muss einem Angreifer, der einen initialen Fuss in die (sprichwörtliche) Tür bekommen hat, nicht ein offensichtliches Ziel auch noch auf dem Silbertablett servieren.Autor: Alexander Riepl