Hacking-Kampagne nimmt BlueKeep-Sicherheitslücke ins Visier

Sicherheitsforscher haben erstmals eine Hacking-Kampagne aufgedeckt, bei der ein Exploit für die BlueKeep-Schwachstelle benutzt wird, um Schadsoftware zu verbreiten. Microsofts Befürchtung, die Anfälligkeit lasse sich auch mit einem sich selbst verbreitenden Wurm ausnutzen, hat sich zumindest bisher nicht bewahrheitet.

Bei dem Exploit handelt es sich um Beispielcode, den das Metasploit-Team im September veröffentlicht hatte. Er erlaubt es den Cyberkriminellen, in ungepatchte Windows-Systeme einzudringen und einen Miner für Kryptowährungen zu installieren.

Laut Sicherheitsexperte Kevin Beaumont finden diese Angriffe seit rund zwei Wochen im großen Umfang statt. Auf Spuren des Exploits stieß er in Logs von mehreren Honeypots, die er schon vor Monaten eingerichtet und zwischenzeitlich gar vergessen hatte. Der erste Angriff fand demnach am 23. Oktober statt.

Beaumont’s Erkenntnisse bestätigte der Forscher Marcus Hutchins, der den Ausbruch der WannaCry-Ransomware stoppte und der als Experte für die BlueKeep-Anfälligkeit gilt. Allerdings sollen die Angriffe noch nicht das Ausmaß angenommen haben, das Microsoft im Mai prognostiziert hatte. Der Softwarekonzern verglich BlueKeep zu dem Zeitpunkt mit EternalBlue, der Schwachstelle, die WannaCry, NotPetya und auch Bad Rabbit ermöglichte.

Derzeit haben es die Hacker offenbar auf Windows-Systeme mit offenen RDP-Ports abgesehen, um den BlueKeep-Exploit von Metasploit einzusetzen. Beaumont zufolge sollen diese Angriffe jedoch nicht sehr erfolgreich sein. Sie ließen zehn seiner elf Honeypots abstürzen. Das wiederum deckt sich mit Einschätzungen, die Experten in den vergangenen Monaten wiederholt äußerten. Ein BlueKeep-Exploit habe möglicherweise gravierende Folgen und es sei schwer Schadcode zu entwickeln, der keinen Bluescreen of Death (BSOD) auslöse.

Es scheint, als sei es den Hintermännern der aktuellen Angriffe bisher nicht gelungen, den Metasploit-Code so zu modifizieren, dass er keine Abstürze auslöst. In einigen Fällen waren die Attacken aber wohl trotzdem erfolgreich und führten zur Installation des Crypto-Miners.

Ein Patch für BlueKeep ist seit Mitte Mai 2019 verfügbar. Die Schwachstellen mit der Kennung CVE-2019-0708 betrifft Windows 7, Server 2008 R2 und Server 2008. Aktuellen Scans zufolge sind nicht rund 750.000 Windows-Systeme mit einem RDP-Endpoint, der über das Internet erreichbar ist, ungepatcht und damit angreifbar.