Als Microsoft im Mai letzten Jahres bekannt gab, dass Millionen von Windows-Geräten einen schwerwiegenden, hackbaren Fehler aufwiesen, der als BlueKeep bekannt ist und es einem automatisierten Wurm ermöglichen könnte, Malware von Computer zu Computer zu verbreiten, schien es nur eine Frage der Zeit zu sein, bis jemand einen globalen Angriff auslöste. Wie vorhergesagt, hat eine BlueKeep-Kampagne endlich zugeschlagen. Bisher ist das Worst-Case-Szenario jedoch noch nicht abgeschlossen.
Sicherheitsforscher haben Beweise dafür entdeckt, dass ihre so genannten Honeypots - Ködergeräte, die zum Erkennen und Analysieren von Malware-Ausbrüchen entwickelt wurden - mithilfe der BlueKeep-Sicherheitsanfälligkeit massenhaft kompromittiert werden. Der Fehler in Microsofts Remotedesktopprotokoll ermöglicht es einem Hacker, auf nicht gepatchten Computern vollständigen Remotecode auszuführen. Während es zuvor nur für Proofs of Concept genutzt wurde, hat es möglicherweise verheerende Konsequenzen. Ein weiterer Wurm, der sich 2017 gegen Windows-Computer richtete, der NotPetya-Ransomware-Angriff, verursachte weltweit mehr als 10 Milliarden Dollar Schaden.
Bislang installiert das weit verbreitete BlueKeep-Hacking jedoch lediglich einen Cryptocurrency-Miner, der die Verarbeitungsleistung eines Opfers zum Generieren von Cryptocurrency erschöpft. Und anstatt eines Wurms, der ohne fremde Hilfe von einem Computer zum nächsten springt, scheinen diese Angreifer das Internet nach anfälligen Computern durchsucht zu haben, die ausgenutzt werden können. Das macht es unwahrscheinlich, dass diese aktuelle Welle zu einer Epidemie führt.
"BlueKeep gibt es schon eine Weile. Aber dies ist das erste Mal, dass ich gesehen habe, wie es in großem Maßstab eingesetzt wird", sagt Marcus Hutchins, ein Malware-Forscher des Sicherheitsunternehmens Kryptos Logic, der als einer der Ersten war Erstellen Sie einen funktionsfähigen Proof-of-Concept für die BlueKeep-Sicherheitsanfälligkeit. "Sie suchen keine Ziele. Sie durchsuchen das Internet und sprühen Exploits."
"Es hat noch keine kritische Masse erreicht."
Jake Williams, Rendition Infosec
Hutchins berichtet, dass er von dem BlueKeep-Hacking-Ausbruch von seinem Kollegen Kevin Beaumont erfahren habe, der beobachtet habe, wie seine Honeypot-Maschinen in den letzten Tagen abstürzten. Da diese Geräte nur Port 3389 für das Internet zugänglich machten - den von RDP verwendeten -, vermutete er BlueKeep schnell. Beaumont teilte dann mit Hutchins forensische "Crashdump" -Daten dieser abgestürzten Maschinen, die bestätigten, dass BlueKeep die Ursache war und dass die Hacker beabsichtigten, einen Cryptocurrency Miner auf den Opfermaschinen zu installieren, wie in diesem Blogbeitrag von Kryptos beschrieben Logik. Hutchins sagt, er habe noch nicht herausgefunden, welche Münze sie abbauen wollen, und bemerkt, dass die Tatsache, dass die Zielmaschinen abstürzen, darauf hindeutet, dass der Exploit möglicherweise unzuverlässig ist. Die Autoren der Malware scheinen eine Version der BlueKeep-Hacking-Technik zu verwenden, die im Open-Source-Framework für Hacker- und Penetrationstests Metasploit enthalten ist, so Hutchins, das im September veröffentlicht wurde.
Es ist auch unklar, wie viele Geräte betroffen waren, obwohl der aktuelle BlueKeep-Ausbruch weit von der von vielen befürchteten RDP-Pandemie entfernt zu sein scheint. "Ich habe einen Anstieg gesehen, aber nicht das Niveau, das ich von einem Wurm erwarten würde", sagt Jake Williams, Gründer der Sicherheitsfirma Rendition Infosec, der die Netzwerke seiner Kunden auf Anzeichen von Ausbeutung überwacht. "Es hat noch keine kritische Masse erreicht."
Tatsächlich, argumentiert Williams, könnte das Fehlen einer schwerwiegenderen Welle von BlueKeep-Hacking tatsächlich eine Erfolgsgeschichte für Microsofts Reaktion auf den BlueKeep-Bug anzeigen - ein unerwartetes Happy End. "Mit jedem Monat, der vergeht, ohne dass ein Wurm passiert, flicken mehr Menschen und die gefährdete Bevölkerung sinkt", sagt Williams. "Da das Metasploit-Modul bereits seit einigen Monaten nicht mehr verfügbar ist, scheint die Tatsache, dass dies bisher noch niemand beseitigt hat, darauf hinzudeuten, dass es eine Kosten-Nutzen-Analyse gibt und die Waffe keinen großen Nutzen bringt."
