Categories: Sicherheit

Weniger Abstürze: Zuverlässigkeit von Metasploits BlueKeep-Exploit verbessert

Microsofts jüngste Warnung vor Angriffen auf die BlueKeep-Lücke ist möglicherweise nicht unbegründet. Noch in dieser Woche soll der im September veröffentlichte Exploit für die BlueKeep genannte Schwachstelle in Windows ein Update erhalten. Es soll dessen Zuverlässigkeit erhöhen und die bei aktuellen Angriffen auftretenden Windows-Abstürze (Blue Screen of Death, BSOD) reduzieren.

Entwickelt wurde der Exploit ursprünglich vom Sicherheitsforscher Sean Dillon von RiskSense. Seinen Beispielcode integrierte das Metasploit-Team des Sicherheitsanbieters Rapid7 schließlich in sein gleichnamiges Exploit-Kit, das als Penetration Testing Framework eingesetzt wird. Auf einigen Systemen lösen damit ausgeführte BlueKeep-Angriffe jedoch einen BSOD aus.

Darüber entdeckte der Sicherheitsexperte Kevin Beaumont vor einer Woche dann auch die erste Hacking-Kampagne, die auf BlueKeep basiert. Sie führte seiner Analyse zufolge in erster Linie zu Systemabstürzen. In einigen Fällen gelang es den Hintermännern aber wohl auch, einen Crypto-Miner zu installieren.

Gegenüber ZDNet USA erklärte Dillon nun, der Hauptgrund für die Abstürze seines Exploits sei Microsofts Patch für die Meltdown-Lücke in Intel-Prozessoren. Der Exploit habe schlichtweg Windows-Kernels mit Meltdown-Patches nicht unterstützt. „Der künftige BlueKeep-Metasploit-Exploit wird für Meltdown gepatchte Kernel unterstützen“, erklärte Dillon. Statt den Meltdown-Patch zu umgehen, werde die Exploit-Routine zu Beginn eines BlueKeep-Angriffs geändert.

Anfänglich sei angenommen worden, eine Umgehung des Meltdown-Patches sei erforderlich, um BlueKeep auf gepatchten Kerneln lauffähig zu machen, ergänzte der Forscher. Ihm zufolge stellte sich heraus, dass ein bestimmter Systemaufruf für den BlueKeep-Exploit nicht erforderlich sei, was auch die Umgehung des Meltdown-Patches überflüssig mache.

Dillon geht davon aus, dass der Patch für Metasploit noch in dieser Woche zur Verfügung steht. Weitere technische Details des Updates hält er in seinem Blog bereit.

Während Microsoft vor allem vor der Entwicklung eines sich selbst verbreitenden Wurms für die BlueKeep-Lücke warnt, weisen einige Sicherheitsforscher darauf hin, dass ein zuverlässiger BlueKeep-Exploit auch ohne Wurmfunktion eine ernste Bedrohung darstellt.

„Die meisten für BlueKeep anfälligen Geräte sind Server. Im Allgemeinen haben Windows-Server die Möglichkeit, Geräte im Netzwerk zu steuern. Entweder sind sie Domänenadministratoren, haben Netzwerkmanagement-Tools installiert oder teilen die gleichen lokalen Anmeldeinformationen mit dem Rest des Netzwerks. Durch die Gefährdung eines Netzwerkservers ist es fast immer extrem einfach, automatisierte Tools zu verwenden, um beispielsweise Ransomware an jedes System im Netzwerk zu verteilen“ sagte der Forscher Marcus Hutchins, der schon an der Analyse der ersten BlueKeep-Angriffe beteiligt war. „Erinnern Sie sich an die Schlagzeilen über ganze Netzwerke voll mit Ransomware? Das beginnt immer mit einem einzelnen gehackten System. Das ist nicht einmal ein Server, sondern ein normales Client-System. Angreifer brauchen keine Würmer.“

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Supercomputer Hawk mit 11.260 AMD-Prozessoren geht in Betrieb

Das Höchstleistungsrechenzentrum in Stuttgart (HLRS) hat heute offiziell den Supercomputer Hawk in Betrieb genommen. Der Großrechner stammt von Hewlett Packard…

1 Tag ago

BlackBerry: Automobilindustrie und Einzelhandel sollten sich auf mehr Bedrohungen einstellen

Der Anstieg von Angriffen in der Automobilindustrie werde durch die fortschreitende Vernetzung der PKWs begünstigt. Das ist das Ergebnis des…

1 Tag ago

Telekom blickt auf ein Rekordjahr zurück

Der Konzern erzielt 2019 einen Umsatz von 80,5 Milliarden Euro, was einem Anstieg gegenüber dem Vorjahr um 6.4 Prozent entspricht.…

1 Tag ago

Dell will RSA Security an Symphony Technology Group verkaufen

Dieser Schritt soll das Portfolio von Dell vereinfachen und der RSA ermöglichen, sich auf ihre Kernaufgabe im Bereich Sicherheit zu…

2 Tagen ago

Webinar: BlackBerry Intelligent Security – Flexible Sicherheitsrichtlinien für mobiles Arbeiten

Die meisten Unified Endpoint Management Produkte platzieren Richtlinien auf einem Gerät oder in einer Anwendung nach eng umrissenen Vorgaben. Entscheidend…

2 Tagen ago

Deutschland vor Hybrid-Cloud-Welle

Interessant sind die Ergebnisse des Enterprise Cloud Index 2019 für Deutschland. Denn die hiesigen Entwicklungen zeigen: Nicht jede App soll…

2 Tagen ago