Gefahr für alte Windows-Versionen Der Countdown zur nächsten Erpressungswelle läuft

Eine Sicherheitslücke bedroht Hunderttausende Computer. Es gibt Angriffssoftware, die diese Schwachstelle ausnutzt. Zwar sind Updates verfügbar - auf vielen Rechnern sind sie aber noch nicht eingespielt.
"Ups, deine wichtigen Dateien sind verschlüsselt" - Ransomware bleibt ein Problem.

"Ups, deine wichtigen Dateien sind verschlüsselt" - Ransomware bleibt ein Problem.

Foto: Rob Engelaar/AFP

Es läuft auf eine Katastrophe mit Ansage hinaus: Im Mai warnte Microsoft erstmals und eindringlich vor einer Sicherheitslücke in mehreren alten Windows-Versionen. Sie könne eine Angriffswelle wie seinerzeit den Verschlüsselungstrojaner WannaCry zur Folge haben. Die NSA, das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsexperten in aller Welt stimmten in die Warnung ein.

BlueKeep wird die Schwachstelle genannt, sie steckt in Microsofts Remote Desktop Protocol (RDP) und könnte das Einfallstor für sich selbst ausbreitende Schadsoftware aller Art werden. Erpressung wie mit WannaCry, Sabotage wie mit NotPetya oder auch Spionage - theoretisch ist das alles möglich.

Das Unternehmen veröffentlichte deshalb selbst für die alten Systeme Windows 2003 und Windows XP, die eigentlich längst keinen Support mehr bekommen, Sicherheitsupdates. Auch für Windows 7, Windows Server 2008 und Windows Server 2008 R2 stehen Patches bereit.

Dennoch waren nach einer Untersuchung von BitSight  Anfang Juli immer noch mehr als 800.000 Computer in aller Welt verwundbar. Eine andere Messung ergab 730.000 potenzielle Opfer. Zum Vergleich: WannaCry befiel innerhalb weniger Tage rund 200.000 Rechner und sorgte für Schäden von mindestens mehreren Hundert Millionen Euro.

Erste Konzepte und Anleitungen kursieren seit Wochen

In den vergangenen Wochen gelangten immer mehr Informationen darüber, wie man BlueKeep ausnutzen könnte, an die Öffentlichkeit. Sicherheitsforscher entwickelten sogenannte Exploits, behielten die Details aber für sich.

Einer von ihnen ist Markus Hutchins, der 2017 geholfen hatte, die Ausbreitung von WannaCry zu stoppen, später aber in Las Vegas verhaftet wurde und möglicherweise am heutigen Freitag wegen des einige Jahre zurückliegenden Verkaufs eines Banking-Trojaners verurteilt wird.

Hutchins sagte dem Tech-Magazin "Wired"  kürzlich: "Ich würde Geld darauf verwetten, dass BlueKeep bereits still und heimlich ausgenutzt wird." Noch erfordere das sehr spezielles Wissen, aber irgendwann werde jemand zumindest eine grobe Anleitung veröffentlichen, "und die werden dann alle, die es nicht besser wissen, in einen Computerwurm verwandeln".

Wenige Tage später sah er sich zumindest in Teilen bestätigt, als jemand auf GitHub  eine Art grobe Anleitung zum Bau eines BlueKeep-Exploits veröffentlichte - allerdings auf Chinesisch. Insbesondere enthält sie eine Erklärung, wie man mit BlueKeep beliebigen Code auf dem Rechner des Opfers ausführen kann.

Mittlerweile gibt es eine erste kommerziell vertriebene Software, die BlueKeep ausnutzt, berichtet "ZDNet" . Entwickelt wurde sie von der Firma Immunity. Die neue Software ist Bestandteil eines Software-Werkzeugkastens für Penetrationstester, den Immunity nach eigenen Angaben  an "Sicherheitsprofis in aller Welt" verkauft beziehungsweise lizensiert, für einige Tausend Dollar.

Das ist einerseits ein ganz normaler Vorgang in der Branche. Penetrationstester - kurz: Pentester - werden beauftragt, in die Computer ihrer Auftraggeber einzubrechen, um Schwachstellen wie eben BlueKeep aufzudecken. Um zu beweisen, dass man mit dem Wissen um die Lücke in der Praxis schwere Schäden anrichten kann, braucht man einen entsprechenden Exploit.

Andererseits könnte die Immunity-Software schnell bei jemandem landen, der den BlueKeep-Exploit nachbaut. Reverse Engineering wird das genannt, und ein Sicherheitsexperte sagte dem SPIEGEL, dass so etwas eher Tage als Wochen dauern würde - selbst wenn Immunity gewisse Schutzmaßnahmen getroffen haben sollte.

All das ist noch keine Garantie für eine bevorstehende breite Attacke mit BlueKeep-Exploits, aber die Wahrscheinlichkeit nimmt weiter zu. Deshalb sollten Nutzer und Administratoren alter Windows-Systeme jetzt dringend hier die Sicherheitsupdates von Microsoft herunterladen  und einspielen sowie ihre Daten sichern.

Die Wiedergabe wurde unterbrochen.