Jetzt patchen! Attacken auf Windows-Lücke BlueKeep beobachtet
Wer noch ältere Windows-Versionen betreibt, sollte sicherstellen, dass diese auf dem aktuellen Stand sind. Ansonsten könnte Malware auf Computer gelangen.
Angreifer haben es derzeit auf eine als "kritisch" eingestufte Sicherheitslücke in Windows XP, 7, Vista, Server 2003 und Server 2008 abgesehen. Ist eine Attacke erfolgreich, könnte sich Malware wurmartig von einem Computer auf weitere PCs verbreiten. So könnten Angreifer ganze Netzwerke kompromittieren.
Krypto-Miner im Gepäck
Die Schwachstelle (CVE-2019-0708) ist unter dem Namen BlueKeep bekannt und steckt in Micrsofts Remote Desktop Protocol (RDP) für die Fernwartung von Windows-PCs. Die Lücke ist seit Ende Mai 2019 bekannt – seitdem gibt es auch Sicherheitsupdates. Patches gibt es sogar für XP und Vista, die eigentlich bereits vom offiziellen Update-Zweig abgeschnitten sind. Computer mit bedrohten Windows-Versionen sind nur gefährdet, wenn der RDP-Service aktiviert ist. Windows 8.1 und 10 sind generell nicht betroffen.
Wie aus einem Beitrag hervorgeht, haben Sicherheitsforscher von Kryptos Logic nun erste Angriff auf ihre Honeypots dokumentiert. Dabei handelt es sich um PCs, die als Lockfalle für Angreifer im Netz hängen. Während ihrer Beobachtungen kam es zu Angriffen auf den von RDP genutzten TCP-Port 3389. Dabei stürzten die Honeypots mit einem Blue Screen of Death (BSOD) ab.
Im Zuge ihrer Untersuchungen konnten die Sicherheitsforscher auch die Payload analysieren, die Angreifer über die Schwachstelle auf Windows-Computer schieben wollen. Dabei handelt es sich dem Online-Analyse-Service Virustotal zufolge um einen Krypto-Miner, der auf Kosten der Rechenleistung von Opfern die Kryptowährung Monero schürft.
Einem Analysten von Malware Tech zufolge ist die Payload momentan nicht darauf ausgelegt, sich wurmartig im Netzwerk zu verbreiten und so weitere PCs zu infizieren.
Sicherheitsupdates installieren
Admins sollten nun dringend ihre Windows-PCs auf Aktualität prüfen und sie gegebenenfalls updaten. In welchem Ausmaß die Angriffe konkret stattfinden, führen die Sicherheitsforscher nicht aus. In ihrem Beitrag ist die Rede von einer "massenhaften Ausnutzung". Dort beschreiben sie auch technische Einzelheiten zum Exploit.
Patch-Downloads:
- Sicherheitsupdates für Windows 7 und Windows Server 2008 (R2)
- Sicherheitsupdates für Windows XP, Vista und Server 2003
(des)
