Ein Bluekeep-Exploit könnte Windows treffen

Posted by GSL-Team - 30. Mai 2019 - Magazin, News, Sicherheit - No Comments

Die schwere Sicherheitslücke im RDP-Service von Windows wurde zwar von Microsoft gepatcht, aber sehr viele Benutzer haben das schützende Update noch nicht eingespielt. Der Entwickler des Internet-Scantools Masscan Robert Graham hat bei einem Test fast eine Million Computer gefunden, die über das Internet erreichbar sind und angegriffen werden könnten.

Microsoft warnte schon vor zwei Wochen, dass die Sicherheitslücke, die als Bluekeep bezeichnet wird, extrem gefährlich sei. Schadsoftware, die diese Lücke ausnutze, könne ähnlich verheerende Schäden auslösen wie Wanna Cry. Diese Ransomware, die geleakte Exploits des US-Geheimdienstes NSA ausnutzte, führte 2017 zu unzähligen Infektionen und legte auch Unternehmen, Behörden und Krankenhäuser lahm.

Über den Schädling

Die Bluekeep-Lücke steckt in der Unterstützung für das Remote Desktop Protocol (RDP). Deshalb hat Microsoft nicht nur für alle aktuellen Windows-Versionen Updates bereitgestellt, sondern wegen der Gefährlichkeit sogar für nicht mehr unterstützte Uralt-Versionen inklusive Windows XP.

Bisher gab es aber noch keine größeren Angriffe. Grund dafür dürfte seien, dass es für Bluekeep immer noch keinen öffentlich verfügbaren Exploit gibt. Leider ist aber anzunehmen, dass ein entsprechender Exploit in den nächsten Wochen bekannt wird und dann großflächige Angriffe beginnen.

Maßnahmen gegen BlueKeep

Wer Windows nutzt, sollte die Updates gegen Bluekeep möglichst umgehend installieren. Es empfiehlt sich auch, den RDP-Service zu deaktivieren, wenn man ihn nicht wirklich (zum Beispiel für eine Fernwartung) benötigt.

Admins von größeren Netzwerken können darin auch selbst nach verwundbaren Windows-Rechnern scannen. Zu dem Zweck hat Robert Graham sein Test-Tool auf Github bereitgestellt.

Screenshot: Medigate

No comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kommentarlinks könnten nofollow frei sein.