BSI und Infoblox warnen vor neuem WannaCry

Wurmkur für Windows XP bis Server 2008

| Autor / Redakteur: Dirk Srocke / Peter Schmitz

Wurmverdächtig: CVE-2019-0708 gilt als neue Gefahr für alte Rechner.
Wurmverdächtig: CVE-2019-0708 gilt als neue Gefahr für alte Rechner. (Bild: gemeinfrei, Microsoft (Logo) / Pixabay)

Aus Sorge vor einer erneuten Wurmepidemie hat Microsoft die eigentlich nicht mehr gepflegten Windows-Versionen XP und Server 2003 mit einem Patch versorgt – und damit womöglich eine Neuauflage des WannaCry-Angriffes verhindert.

Wie schon 2017 hat Microsoft die betagten Betriebssysteme Windows XP und Windows Server 2003 zum Patchday im Mai 2019 nochmals mit einem sicherheitskritischen Update beliefert. Während der Hersteller seinerzeit auf den grassierenden Schädling WannaCry reagierte, hatte die Maßnahme diesmal noch präventiven Charakter.

WannaCry – Anatomie eines (erfolgreichen) Angriffs

Informationssicherheit im Mittelstand

WannaCry – Anatomie eines (erfolgreichen) Angriffs

12.07.17 - WannaCry hat rund um den Globus die Alarmglocken zum Läuten gebracht, für Chaos gesorgt und es bis in die Abendnachrichten geschafft. Die spannende Frage dabei ist, warum der Angriff besonders im Mittelstand so erfolgreich sein konnte und ob es Aussicht auf Besserung gibt. Besonders im Fokus stehen altgediente aber immer noch aktive Windows XP-Installationen, die auch nach Ablauf des Supports nicht erneuert wurden. lesen

Konkret ging es dabei um die als CVE-2019-0708 geführte Schwachstelle in den Remote Desktop Services. Die hätte ohne Zutun des Endnutzers missbraucht werden können, um eine sich selbstverbreitende Schadsoftware einzuschleusen. Solch einen Wurm hatte das zwar bis zum 14. Mai noch nicht entdeckt. Allerdings sei es sehr wahrscheinlich, dass Angreifer die Sicherheitslücke künftig per Malware ausnutzen.

Wichtige Windows-Updates sogar für Windows XP

Microsoft Patchday Mai 2019

Wichtige Windows-Updates sogar für Windows XP

15.05.19 - Microsoft hat am Patchday im Mai 2019 für alle unterstützten Windows-Systeme Updates zur Verfügung gestellt. Dieses Mal wurde auch ein Update für Windows XP, Vista und Windows Server 2003 bereitgestellt. Die neue Seitenkanal-Malware ZombieLoad steht im Mai im Fokus der Updates. Wir geben einen Überblick. lesen

Einschätzungen zum realen Bedrohungspotenzial

Das konkret damit verbundene Schadpotenzial wollte Microsoft selbst auf Nachfrage nicht genauer bemessen. Daher haben wir zunächst die Webseite des Dienstleisters NetMarketShare befragt. Der zufolge lief Windows XP im April 2019 lediglich noch auf 2,46 Prozent aller Desk- und Laptops.

Für Frank Ruge offenbar genug für eine bedrohliche Lage. Der Director Sales Central Europe beim Sicherheitsunternehmen Infoblox warnt: „Das Gefahrenpotenzial von Geräten, die noch mit alten Microsoft Betriebssystemen laufen, ist tatsächlich groß. Denn es tummeln sich noch immer etliche Geräte mit diesen Systemen in den Netzwerken, zum Teil sogar ohne Patches zu bekommen. Da Kriminelle natürlich sehr geschickt sind, nutzen sie genau diese alten Systeme aus, um ins Netzwerk zu gelangen. Weitere ungeschützte Geräte, wie es sie in Zeiten des Internet of Things, immer mehr gibt, können so sehr leicht angegriffen werden.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt diese Sichtweise: „Die Schwachstelle ist als kritisch anzusehen. Zwar ist der RDP-Dienst in der Regel nicht als aktiv voreingestellt, für eine hohe Anzahl von Servern wird der Dienst aber für die Fernwartung verwendet – und dies teilweise über das Internet. Dadurch ist ein Szenario denkbar, das der Ausbreitung von Wannacry gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware automatisiert über das Internet verbreiten kann.“

Patches und weitere Schutzmaßnahmen

Nutzer sollten den Patch für XP und Server 2003 entsprechend rasch einspielen. Das gilt übrigens auch für die immer noch von Microsoft aktuelleren Systeme Windows 7, Server 2008 und Server 2008 R2. Nicht betroffen sind dagegen Windows 8 und Windows 10. Systeme mit Network Level Authentication (NLA) sind zumindest teilweise gegen einen Wurmangriff immun: Vor einer Remote Code Execution (RCE) müssten Angreifer zunächst in Besitz gültiger Zugangsdaten gelangen – so Microsoft.

Als weitere Vorsichtsmaßnahmen empfiehlt das BSI, das Remote Desktop Protocol ausschließlich bei Bedarf zu aktivieren. Auch dann sollten Verbindungen von außen auf bestimmte Netzbereiche eingeschränkt werden. Schließlich böte es sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.

Um bevorstehenden Angriffen generell entgegenzuwirken liefert Infoblox noch weitere, allgemeiner gültige Empfehlungen. Hierzu gehören unter anderem die Überwachung von DNS-Anfragen, mit der die Kommunikation mit Killswitch-Domains erkannt werden könne. Wer eine DNS Response Policy Zone (RPZ) implementiert, könne zudem die Kommunikation mit C&C-Servern blockieren.

Was ist ein Botnetz?

Definition Botnet

Was ist ein Botnetz?

08.11.16 - Ein Botnetz besteht aus schlecht geschützten IT-Systemen, die durch Malware oder automatisierte Angriffe über das Internet gekapert und zu kriminellen Zwecken missbraucht werden. Bislang bestand ein Botnet meist aus Desktop-Computern, inzwischen gehören aber auch IP-Kameras, Smartphones und Smart-TVs zu den Zielen der Cyberkriminellen. lesen

Unabhängig von der jetzt publik gewordenen Schwachstelle benachrichtige das CERT-Bund des BSI zudem seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet erreichbar sein sollte.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45932047 / Sicherheitslücken)