Suchen

BSI und Infoblox warnen vor neuem WannaCry Wurmkur für Windows XP bis Server 2008

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

Aus Sorge vor einer erneuten Wurmepidemie hat Microsoft die eigentlich nicht mehr gepflegten Windows-Versionen XP und Server 2003 mit einem Patch versorgt – und damit womöglich eine Neuauflage des WannaCry-Angriffes verhindert.

Firmen zum Thema

Wurmverdächtig: CVE-2019-0708 gilt als neue Gefahr für alte Rechner.
Wurmverdächtig: CVE-2019-0708 gilt als neue Gefahr für alte Rechner.
(Bild: gemeinfrei, Microsoft (Logo) / Pixabay )

Wie schon 2017 hat Microsoft die betagten Betriebssysteme Windows XP und Windows Server 2003 zum Patchday im Mai 2019 nochmals mit einem sicherheitskritischen Update beliefert. Während der Hersteller seinerzeit auf den grassierenden Schädling WannaCry reagierte, hatte die Maßnahme diesmal noch präventiven Charakter.

Konkret ging es dabei um die als CVE-2019-0708 geführte Schwachstelle in den Remote Desktop Services. Die hätte ohne Zutun des Endnutzers missbraucht werden können, um eine sich selbstverbreitende Schadsoftware einzuschleusen. Solch einen Wurm hatte das zwar bis zum 14. Mai noch nicht entdeckt. Allerdings sei es sehr wahrscheinlich, dass Angreifer die Sicherheitslücke künftig per Malware ausnutzen.

Einschätzungen zum realen Bedrohungspotenzial

Das konkret damit verbundene Schadpotenzial wollte Microsoft selbst auf Nachfrage nicht genauer bemessen. Daher haben wir zunächst die Webseite des Dienstleisters NetMarketShare befragt. Der zufolge lief Windows XP im April 2019 lediglich noch auf 2,46 Prozent aller Desk- und Laptops.

Für Frank Ruge offenbar genug für eine bedrohliche Lage. Der Director Sales Central Europe beim Sicherheitsunternehmen Infoblox warnt: „Das Gefahrenpotenzial von Geräten, die noch mit alten Microsoft Betriebssystemen laufen, ist tatsächlich groß. Denn es tummeln sich noch immer etliche Geräte mit diesen Systemen in den Netzwerken, zum Teil sogar ohne Patches zu bekommen. Da Kriminelle natürlich sehr geschickt sind, nutzen sie genau diese alten Systeme aus, um ins Netzwerk zu gelangen. Weitere ungeschützte Geräte, wie es sie in Zeiten des Internet of Things, immer mehr gibt, können so sehr leicht angegriffen werden.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt diese Sichtweise: „Die Schwachstelle ist als kritisch anzusehen. Zwar ist der RDP-Dienst in der Regel nicht als aktiv voreingestellt, für eine hohe Anzahl von Servern wird der Dienst aber für die Fernwartung verwendet – und dies teilweise über das Internet. Dadurch ist ein Szenario denkbar, das der Ausbreitung von Wannacry gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware automatisiert über das Internet verbreiten kann.“

Patches und weitere Schutzmaßnahmen

Nutzer sollten den Patch für XP und Server 2003 entsprechend rasch einspielen. Das gilt übrigens auch für die immer noch von Microsoft aktuelleren Systeme Windows 7, Server 2008 und Server 2008 R2. Nicht betroffen sind dagegen Windows 8 und Windows 10. Systeme mit Network Level Authentication (NLA) sind zumindest teilweise gegen einen Wurmangriff immun: Vor einer Remote Code Execution (RCE) müssten Angreifer zunächst in Besitz gültiger Zugangsdaten gelangen – so Microsoft.

Als weitere Vorsichtsmaßnahmen empfiehlt das BSI, das Remote Desktop Protocol ausschließlich bei Bedarf zu aktivieren. Auch dann sollten Verbindungen von außen auf bestimmte Netzbereiche eingeschränkt werden. Schließlich böte es sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.

Um bevorstehenden Angriffen generell entgegenzuwirken liefert Infoblox noch weitere, allgemeiner gültige Empfehlungen. Hierzu gehören unter anderem die Überwachung von DNS-Anfragen, mit der die Kommunikation mit Killswitch-Domains erkannt werden könne. Wer eine DNS Response Policy Zone (RPZ) implementiert, könne zudem die Kommunikation mit C&C-Servern blockieren.

Unabhängig von der jetzt publik gewordenen Schwachstelle benachrichtige das CERT-Bund des BSI zudem seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet erreichbar sein sollte.

(ID:45932047)