EternalBlue: Hunderttausende Rechner über alte NSA-Schwachstelle infizierbar
Viele Windows-Rechner kranken auch über ein Jahr nach dem WannaCry-Ausbruch immer noch an der ursprünglichen Schwachstelle – Schuld haben die Raubkopierer.
- Fabian A. Scherschel
Altlasten des US-Geheimdienstes NSA bedrohen nach wie vor hunderttausende ungepatchte Windows-Computer. Wie mehrere Sicherheitsforscher und Anti-Viren-Hersteller berichten, gibt es immer noch haufenweise Malware, die es auf die mit dem Codenamen EternalBlue bezeichnete Schwachstelle abgesehen hat. Das Risiko trifft vor allem Rechner, auf denen raubkopierte Windows-Versionen im Einsatz sind. Für vernünftig gepflegte Systeme sollte EternalBlue schon lange keine Gefahr mehr darstellen, immerhin hatte Microsoft die zugrundeliegende Sicherheitslücke selbst in Windows-Versionen gestopft, die eigentlich schon lange keinen Support mehr bekommen.
Ewiger Infektionskreislauf
Wie der AV-Hersteller Avira berichtet, finden sich allerdings nach wie vor mehr als 300.000 Rechner, die über ungepatchte Varianten der SMB1-Schnittstelle angreifbar sind. Die Dunkelziffer ist wahrscheinlich viel höher. Die verwundbaren Rechner werden immer wieder neu über die Lücke infiziert, obwohl Anti-Viren-Programme und auch die Trojaner gegenseitig immer wieder Schadcode entfernen. Da die zugrundeliegende Lücke allerdings ohne ein entsprechendes Windows-Update weiter klafft, stecken diese Geräte in einem nicht enden wollenden Infektionskreislauf fest. Ein Aspekt dabei ist auch, dass die verschiedenen Schadprogramme dabei immer wieder die umliegenden Netze auf der Suche nach neuen Opfern mit Traffic zumüllen.
Da es unrealistisch scheint, dass Nutzer von Windows-Raubkopien Systemupdates erhalten oder gar erhalten wollen, empfiehlt Avira den Betroffenen, das SMB1-Protokoll kurzerhand abzustellen. Hinweise dazu, wie das im Detail umzusetzen ist, finden sich auch bei Microsoft. Auf Systemen, auf denen Anti-Viren-Programme von Avira laufen und die entsprechende Sicherheitsupdates nicht installiert haben, führt Avira diesen Schritt für die Nutzer automatisch aus.
Folgen der NSA-Spionagetaktik
Die Auswirkungen der EternalBlue-Schwachstelle sind der Allgemeinheit spätestens nach den Massenausbrüchen der Trojaner WannaCry und Petya bekannt. Die Lücke stammt ursprünglich aus dem Zero-Day-Arsenal der NSA. Der US-Geheimdienst hatte sie mehr als drei Jahre lang für verdeckte Angriffe auf alle möglichen Ziele eingesetzt, bis die Agency die Lücke schließlich aus Angst vor der Hackergruppe Shadow Brokers an Microsoft meldete.
Das wiederum führte dazu, dass Microsoft zum ersten mal in seiner Firmengeschichte einen Patchday absagte, um die Schwachstelle so schnell wie möglich zu stopfen. Bei der NSA hieß es, die Ausbeute aus dieser einen Lücke sei "unglaublich" gewesen. Wie sich jetzt zeigt sind die Folgen der US-Sicherheitspolitik im Fall EternalBlue ebenfalls noch nicht ausgestanden. (fab)