Zum letzten Patch Tuesday hat Microsoft die Schwachstelle BlueKeep geschlossen. Diese ist derart schwerwiegend, dass Microsoft einen zweiten Hinweis mit nachdrücklicher Aufforderung zum Patch veröffentlicht hat.

Dass Microsoft mehrfach vor einer Schwachstelle warnt, ist nach Erfahrung der Sicherheitsexperten von Ivanti ein deutliches Anzeichen für die Höhe und Dringlichkeit der Gefahr.  Ivanti empfiehlt Ihnen daher dringend, das verfügbare Update für die Sicherheitslücke BlueKeep zu installieren. Für die kritische Sicherheitslücke CVE-2019-0708 hatte Microsoft bereits im Mai Patches veröffentlicht – wir berichteten darüber zum Patch Tuesday. Theoretisch anfällig sind bis zu eine Million Systeme. Die Schwachstelle betrifft vor allem Rechner, die mit den Versionen Windows 7 und XP laufen.

Sechs Sicherheitsfirmen haben BlueKeep unabhängig voneinander testweise ausgenutzt. Auch wenn reale Angriffe bislang ausgeblieben sind, ist dies ein starkes Indiz dafür, dass eine waffenfähige Version greifbar ist. Zögern Sie daher nicht damit das Update aufzuspielen. Unangenehme Erinnerungen an WannaCry aus dem Jahr 2017 sind hierfür ein weiterer Anreiz.

So funktioniert BlueKeep

Laut der Meldung von Microsoft sind vor allem Windows 7, Windows Server 2008 R2 und Windows Server 2008 sowie Windows 2003 und XP betroffen. Über angreifbare Rechner können Cyberkriminelle Malware einschleusen. Dies funktioniert über die Fernwartungsfunktion („Remote Desktop Services“, kurz RDP). So können Kriminelle den Rechner mit einem Datenpaket infizieren. Besonders gravierend: Der Angriff wird aus der Ferne geführt, der Nutzer muss nicht aktiv werden. Einmal ausgeführt, vervielfältigt sich das Schadprogramm als Wurm selbst. Anzeichen für einen tatsächlichen Angriff gibt es zwar noch nicht, wohl aber für einen Exploit, also die systematische Möglichkeit, die Lücke zu nutzen.

Mögliche Angriffsszenarien

BlueKeep hat das Potential zu einer komplexen Malware-Plattform wie dem Trojaner Emotet anzuwachsen. Bei Privatnutzern sind im Angriffsfall Szenarien wie das Auslesen von Nachrichten und Adressen im E-Mail-Postfach möglich. Gravierendere Folgen drohen im öffentlichen und Unternehmenssektor: In Krankenhäusern könnte BlueKeep in den Ransomware-Modus wechseln und Patientendaten verschlüsseln. Bei Finanzinstituten wäre ein Umschalten in den Befehls- und Kontrollmodus möglich, um dann Anmeldedaten zu stehlen oder auch eine geraume Zeit inaktiv zu bleiben und auf den geeigneten Zeitpunkt für den Angriff zu warten. Vor diesem Hintergrund raten wir Ihnen dringend dazu, die notwendigen Updates durchzuführen.