Weniger Abstürze: Zuverlässigkeit von Metasploits BlueKeep-Exploit verbessert

Microsofts jüngste Warnung vor Angriffen auf die BlueKeep-Lücke ist möglicherweise nicht unbegründet. Noch in dieser Woche soll der im September veröffentlichte Exploit für die BlueKeep genannte Schwachstelle in Windows ein Update erhalten. Es soll dessen Zuverlässigkeit erhöhen und die bei aktuellen Angriffen auftretenden Windows-Abstürze (Blue Screen of Death, BSOD) reduzieren.

Entwickelt wurde der Exploit ursprünglich vom Sicherheitsforscher Sean Dillon von RiskSense. Seinen Beispielcode integrierte das Metasploit-Team des Sicherheitsanbieters Rapid7 schließlich in sein gleichnamiges Exploit-Kit, das als Penetration Testing Framework eingesetzt wird. Auf einigen Systemen lösen damit ausgeführte BlueKeep-Angriffe jedoch einen BSOD aus.

Darüber entdeckte der Sicherheitsexperte Kevin Beaumont vor einer Woche dann auch die erste Hacking-Kampagne, die auf BlueKeep basiert. Sie führte seiner Analyse zufolge in erster Linie zu Systemabstürzen. In einigen Fällen gelang es den Hintermännern aber wohl auch, einen Crypto-Miner zu installieren.

Gegenüber ZDNet USA erklärte Dillon nun, der Hauptgrund für die Abstürze seines Exploits sei Microsofts Patch für die Meltdown-Lücke in Intel-Prozessoren. Der Exploit habe schlichtweg Windows-Kernels mit Meltdown-Patches nicht unterstützt. „Der künftige BlueKeep-Metasploit-Exploit wird für Meltdown gepatchte Kernel unterstützen“, erklärte Dillon. Statt den Meltdown-Patch zu umgehen, werde die Exploit-Routine zu Beginn eines BlueKeep-Angriffs geändert.

Anfänglich sei angenommen worden, eine Umgehung des Meltdown-Patches sei erforderlich, um BlueKeep auf gepatchten Kerneln lauffähig zu machen, ergänzte der Forscher. Ihm zufolge stellte sich heraus, dass ein bestimmter Systemaufruf für den BlueKeep-Exploit nicht erforderlich sei, was auch die Umgehung des Meltdown-Patches überflüssig mache.

Dillon geht davon aus, dass der Patch für Metasploit noch in dieser Woche zur Verfügung steht. Weitere technische Details des Updates hält er in seinem Blog bereit.

Während Microsoft vor allem vor der Entwicklung eines sich selbst verbreitenden Wurms für die BlueKeep-Lücke warnt, weisen einige Sicherheitsforscher darauf hin, dass ein zuverlässiger BlueKeep-Exploit auch ohne Wurmfunktion eine ernste Bedrohung darstellt.

„Die meisten für BlueKeep anfälligen Geräte sind Server. Im Allgemeinen haben Windows-Server die Möglichkeit, Geräte im Netzwerk zu steuern. Entweder sind sie Domänenadministratoren, haben Netzwerkmanagement-Tools installiert oder teilen die gleichen lokalen Anmeldeinformationen mit dem Rest des Netzwerks. Durch die Gefährdung eines Netzwerkservers ist es fast immer extrem einfach, automatisierte Tools zu verwenden, um beispielsweise Ransomware an jedes System im Netzwerk zu verteilen“ sagte der Forscher Marcus Hutchins, der schon an der Analyse der ersten BlueKeep-Angriffe beteiligt war. „Erinnern Sie sich an die Schlagzeilen über ganze Netzwerke voll mit Ransomware? Das beginnt immer mit einem einzelnen gehackten System. Das ist nicht einmal ein Server, sondern ein normales Client-System. Angreifer brauchen keine Würmer.“