Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

BlueKeep, mal wieder

25. Juli 2019

Das "Schöne" an der IT ist, dass uns manche Themen längerfristig begleiten. So auch die Schwachstelle mit der CVE-Nummer 2019-0708, besser bekannt unter dem Namen "BlueKeep".

Wir haben davor gewarnt und darüber gebloggt - und Letzteres muss leider wieder sein.

Relativ kurz nach Bekanntwerden der Schwachstelle gab es ersten Code, der zur Erkennung der Schwachstelle genutzt werden konnte, und potentiell einen Crash auslöste. Eine Woche später gab es bereits mehrere stabile Scanner, und einige weniger stabile PoCs, die garantiert einen Crash auslösten. Stabile Codeausführung war einigen wenigen Sicherheitsforschern und, Gerüchten zufolge, diversen Firmen die kommerziell Malware an Staaten verkaufen vorbehalten.

Dies könnte sich jetzt zeitnah ändern, denn Mitarbeiter der Firma Tencent haben die Slides ihres Vortrages auf einer Konferenz veröffentlicht, in welchem Sie detailliert Codeausführung durch Ausnutzung dieser Schwachstelle erklären. Dies senkt die Hürde für ein Ausnutzen der Schwachstelle in Schadsoftware massiv, und bringt uns einige Schritte näher an den initial befürchteten "BlueKeep-Wurm".

Deswegen erneut der Aufruf: Patchen, patchen und nochmal patchen. Die initiale Veröffentlichung ist nun mehr als zwei Monate her, die Patches sind getestet und eindeutig stabil. Es gibt kaum einen Grund, nichts zu unternehmen. Und falls aus wie auch immer gearteten Gründen kein Patchen möglich sein sollte, dann bitte zumindest sonstige Vorsichtsmassnahmen treffen, Firewalls und VPNs sind hier die Mittel der Wahl.

Und auch wenn sich in Ihrem Netzwerk keine nach aussen sichtbaren, verwundbaren RDP-Server befinden, so ist es mehr als angebracht, auch interne RDP-Server zu patchen. Man muss einem Angreifer, der einen initialen Fuss in die (sprichwörtliche) Tür bekommen hat, nicht ein offensichtliches Ziel auch noch auf dem Silbertablett servieren.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/7/25 - 10:49:15
Haftungsausschluss / Datenschutzerklärung