Microsoft warnt erneut vor Angriffen auf BlueKeep-Lücke

Microsoft hat auf die zuletzt aufgedeckte Hacking-Kampagne reagiert, die eine bereits im Mai gepatchte Sicherheitslücke in Windows 7 und Server 2008 ausnutzt, um vor weiteren Angriffen auf die BlueKeep genannte Schwachstelle zu warnen. Das Unternehmen erwartet, dass künftige Attacken weitaus destruktiver sein werden und sich nicht auf die Verbreitung eines Crypto-Miners beschränken.

Aktuell ist die BlueKeep-Lücke das Einfallstor für eine Schadsoftware, die auf einem vom Metasploit-Team entwickelten und im September veröffentlichten Exploit basiert. Die Angriffe begannen laut einer Untersuchung des Sicherheitsexperten Kevin Beaumont am 23. Oktober. Allerdings sind sie nur selten erfolgreich. Auf vielen anfälligen Systemen sorgt die Malware offenbar dafür, dass Windows abstürzt und der Crypto-Miner nicht installiert werden kann.

Bei Sicherheitsforschern lösten die Erkenntnisse unterschiedliche Reaktionen aus. Vor allem weil die relativ harmlosen Angriffe weit von dem Szenario entfernt sind, das Microsoft im Frühjahr in den Raum stellte. v sehen BlueKeep als möglichen Nachfolger von Eternal Blue an, der Schwachstelle, die die WannaCry- und NotPetya-Angriffe ermöglichte. Sie gehen davon aus, dass auch BlueKeep die Entwicklung eines sich selbst verbreitenden Wurms erlaubt.

Bisher beschränken sich Cyberkriminelle aber offenbar darauf, nach ungepatchten Systemen mit Windows 7, Server 2008 und Server 200 R2 zu suchen, um diese gezielt mit dem BlueKeep-Exploit von Metasploit anzugreifen. Von einem wurmfähigen Exploit scheinen Hacker also noch weit entfernt zu sein.

Microsoft geht jedoch davon aus, dass die aktuelle Kampagne nur die Spitze des Eisbergs ist. Nach Ansicht des Softwarekonzern werden Hacker ihre Attacken weiter verfeinern. Das Schlimmste soll demnach noch vor uns liegen.

„Obwohl es zum jetzigen Zeitpunkt noch keine weiteren verifizierten Angriffe mit Ransomware oder anderer Malware gab, wird der BlueKeep-Exploit wahrscheinlich dazu verwendet werden, Payloads zu liefern, die wirkungsvoller und schädlicher sind als Coin-Miner“, erklärte Microsoft. „Wir können Verbesserungen, die wahrscheinlich zu effektiveren Angriffen führen werden, nicht ignorieren.“

Zum dritten Mal in diesem Jahr rief Microsoft Nutzer auf, die verfügbaren Patches anzuwenden. „Kunden werden ermutigt, gefährdete Systeme sofort zu identifizieren und zu aktualisieren“, ergänzte Microsoft. „Viele dieser nicht gepatchten Geräte könnten nicht überwachte RDP-Geräte sein, die von Lieferanten und anderen Drittanbietern platziert werden, um bei Bedarf Kundensysteme zu verwalten. BlueKeep kann ohne offensichtliche Spuren zu hinterlassen ausgenutzt werden. Kunden sollten auch Systeme, die bereits infiziert oder gefährdet sind, gründlich inspizieren.“

Einer Analyse von BinaryEdge zufolge sind derzeit rund 700.000 Windows-Systeme anfällig für BlueKeep und mit dem Internet verbunden. Die Zahl der gefährdeten Systeme sollte indes deutlich größer, zumindest wenn man der Annahme von Microsoft folgt, wonach einige als Remote Desktop eingesetzt werden, um Rechner oder Netzwerke von Dritten zu verwalten – diese Kontrolle könnte dann nämlich auf Cyberkriminelle übergehen.