Gefahr für alte Windows-Versionen Der Countdown zur nächsten Erpressungswelle läuft

Eine Sicherheitslücke bedroht Hunderttausende Computer. Es gibt Angriffssoftware, die diese Schwachstelle ausnutzt. Zwar sind Updates verfügbar - auf vielen Rechnern sind sie aber noch nicht eingespielt.

"Ups, deine wichtigen Dateien sind verschlüsselt" - Ransomware bleibt ein Problem.
Rob Engelaar/AFP

"Ups, deine wichtigen Dateien sind verschlüsselt" - Ransomware bleibt ein Problem.

Von


Es läuft auf eine Katastrophe mit Ansage hinaus: Im Mai warnte Microsoft erstmals und eindringlich vor einer Sicherheitslücke in mehreren alten Windows-Versionen. Sie könne eine Angriffswelle wie seinerzeit den Verschlüsselungstrojaner WannaCry zur Folge haben. Die NSA, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsexperten in aller Welt stimmten in die Warnung ein.

BlueKeep wird die Schwachstelle genannt, sie steckt in Microsofts Remote Desktop Protocol (RDP) und könnte das Einfallstor für sich selbst ausbreitende Schadsoftware aller Art werden. Erpressung wie mit WannaCry, Sabotage wie mit NotPetya oder auch Spionage - theoretisch ist das alles möglich.

Das Unternehmen veröffentlichte deshalb selbst für die alten Systeme Windows 2003 und Windows XP, die eigentlich längst keinen Support mehr bekommen, Sicherheitsupdates. Auch für Windows 7, Windows Server 2008 und Windows Server 2008 R2 stehen Patches bereit.

Dennoch waren nach einer Untersuchung von BitSight Anfang Juli immer noch mehr als 800.000 Computer in aller Welt verwundbar. Eine andere Messung ergab 730.000 potenzielle Opfer. Zum Vergleich: WannaCry befiel innerhalb weniger Tage rund 200.000 Rechner und sorgte für Schäden von mindestens mehreren Hundert Millionen Euro.

Erste Konzepte und Anleitungen kursieren seit Wochen

In den vergangenen Wochen gelangten immer mehr Informationen darüber, wie man BlueKeep ausnutzen könnte, an die Öffentlichkeit. Sicherheitsforscher entwickelten sogenannte Exploits, behielten die Details aber für sich.

Einer von ihnen ist Markus Hutchins, der 2017 geholfen hatte, die Ausbreitung von WannaCry zu stoppen, später aber in Las Vegas verhaftet wurde und möglicherweise am heutigen Freitag wegen des einige Jahre zurückliegenden Verkaufs eines Banking-Trojaners verurteilt wird.

Hutchins sagte dem Tech-Magazin "Wired" kürzlich: "Ich würde Geld darauf verwetten, dass BlueKeep bereits still und heimlich ausgenutzt wird." Noch erfordere das sehr spezielles Wissen, aber irgendwann werde jemand zumindest eine grobe Anleitung veröffentlichen, "und die werden dann alle, die es nicht besser wissen, in einen Computerwurm verwandeln".

Wenige Tage später sah er sich zumindest in Teilen bestätigt, als jemand auf GitHub eine Art grobe Anleitung zum Bau eines BlueKeep-Exploits veröffentlichte - allerdings auf Chinesisch. Insbesondere enthält sie eine Erklärung, wie man mit BlueKeep beliebigen Code auf dem Rechner des Opfers ausführen kann.

Mittlerweile gibt es eine erste kommerziell vertriebene Software, die BlueKeep ausnutzt, berichtet "ZDNet". Entwickelt wurde sie von der Firma Immunity. Die neue Software ist Bestandteil eines Software-Werkzeugkastens für Penetrationstester, den Immunity nach eigenen Angaben an "Sicherheitsprofis in aller Welt" verkauft beziehungsweise lizensiert, für einige Tausend Dollar.

Das ist einerseits ein ganz normaler Vorgang in der Branche. Penetrationstester - kurz: Pentester - werden beauftragt, in die Computer ihrer Auftraggeber einzubrechen, um Schwachstellen wie eben BlueKeep aufzudecken. Um zu beweisen, dass man mit dem Wissen um die Lücke in der Praxis schwere Schäden anrichten kann, braucht man einen entsprechenden Exploit.

Andererseits könnte die Immunity-Software schnell bei jemandem landen, der den BlueKeep-Exploit nachbaut. Reverse Engineering wird das genannt, und ein Sicherheitsexperte sagte dem SPIEGEL, dass so etwas eher Tage als Wochen dauern würde - selbst wenn Immunity gewisse Schutzmaßnahmen getroffen haben sollte.

All das ist noch keine Garantie für eine bevorstehende breite Attacke mit BlueKeep-Exploits, aber die Wahrscheinlichkeit nimmt weiter zu. Deshalb sollten Nutzer und Administratoren alter Windows-Systeme jetzt dringend hier die Sicherheitsupdates von Microsoft herunterladen und einspielen sowie ihre Daten sichern.



insgesamt 28 Beiträge
Alle Kommentare öffnen
Seite 1
klingeldraht 26.07.2019
1.
Wer noch ein veraltetes Betriebssystem nutzt ist selber schuld wenn er sich sowas einfängt. Muss man ein solches System nutzen weil bspw. die benötigte Software nicht auf aktuellen Systemen läuft, sollte man vorhandene Updates aber installieren.
7eggert 26.07.2019
2.
Gefahr durch Erpressungstrojaner? Ist denn schon wieder ... ein beliebiger Arbeitstag im Jahr?
quark2@mailinator.com 26.07.2019
3.
Ich wünsche, MS hätte den Patch für XP als normales Executable (oder noch besser, einfach als Archiv von Dateien, die man ersetzen muß) rausgebracht, statt dies über den Update-Mechanismus zu vertreiben. Wäre auch gut gewesen, wenn nicht nur das letzte Service Pack unterstützt würde. Bei so alten Rechnern ändert man nicht so gern was Grundlegendes am Betriebssystem, sondern ist froh, wenn die Kiste weiter läuft, damit man die alten Sachen weiter supporten kann.
Kalif78 26.07.2019
4. Entweder oder
Für die reißerischen Gefahrenartikel hier auf dieser Seite in letzter Zeit, kann ich nur zwei Gründe finden. 1) Ihr werdet von Microsoft gut entlohnt, das die Leute endlich umsteigen auf win 10 2) Ihr werdet von MS an der Nase rumgeführt, für selbiges Ergebniss. Man sehe sich mal die Meldungen an, die kurz vor dem Supportende von xp kamen. Diese Parallelen sind bestimmt nicht in einen Zusammenhang zu setzen, sonst könnte man ja darauf kommen das eine Arglistige Täuschung vorliegt. Wie geschrieben: hätte, wäre oder könnte. Also die gleiche Rhetorik wie in diesem Artikel. Natürlich kommt jetzt noch die Panik von MS dazu, das viele User keinen Bock auf win8 oder 10 haben, dem NSA Neugierhelfer. Für mich ist im Januar Windows out of order und ich glaube viele andere User gehen auch diesen Weg.
conocedor 26.07.2019
5. Bestimmt nur Panikmache
Es läuft auf eine Katastrophe mit Ansage hinaus: Im Mai warnte Microsoft erstmals und eindringlich vor einer Sicherheitslücke in mehreren alten Windows-Versionen. Kann nicht sein. Bestimmt nur Panikmache. Wir sollten hier eher dem geballten Sachverstand von Teilen des Forums vertrauen, der sich regelmäßig sinngemäß so kundtut: Windows 10 ist ein einziger Bug! Ich muss produktiv mit dem Rechner arbeiten, da kann ich nur Windows 7 gebrauchen! Ich nutze Windows XP immer noch im Netz und es ist gar nichts passiert! Updates benötige ich nicht, die Typen aus Redmond wollen eh nur spionieren! Also, entspannen. Und wenn dann doch plötzlich und unerwartet die Ordner auf dem betagten XP wie von Zauberhand verschlüsselt sind, können nur Bill Gates und M$ schuld sein. Die hätten uns warnen müssen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.