Als im Mai Nachrichten über die Sicherheitslücke in Windows erschienen, die später unter dem Namen BlueKeep bekannt wurde, warnten Sicherheitsforscher sofort davor, dass der Fehler die zentrale Zutat für einen zerstörerischen Wurm sei, der sicher über das Internet wütet. Microsoft gab eine Reihe von Warnungen heraus, um den Fehler zu beheben, der auf rund einer Million Computern bestand. Sogar die NSA hat den seltenen Schritt unternommen, die Schwere des Fehlers zu bemerken.
Doch zwei Monate später muss der gefürchtete BlueKeep-Weltuntergang erst noch stattfinden. In der Tat hat seine offensichtliche Abwesenheit deutlich gemacht, dass in Zeiten von gehärteten Betriebssystemen mit integriertem Schutz vor einfacher Ausnutzung das bloße Vorhandensein eines bekannten Softwarefehlers für Hacker keine sofortige offene Saison mehr bedeutet. Staatlich geförderte Gruppen verwenden es möglicherweise bereits für leise Einbrüche, gering qualifizierte Kriminelle müssen es jedoch noch für weitreichende Katastrophen einsetzen. Dies bedeutet jedoch nicht, dass eine größere Welle der BlueKeep-Ausnutzung nicht bevorsteht, wenn - oder wann - die geheimen Details der Ausnutzung der Windows-Sicherheitsanfälligkeit einem breiteren Publikum bekannt werden.
"Ich wette mit Geld, dass es bereits leise ausgenutzt wird", sagt Marcus Hutchins, ein Malware-Forscher des Sicherheitsunternehmens Kryptos Logic, der einen funktionsfähigen BlueKeep-Ausnutzungs-Proof-of-Concept privat codiert hat. Wie andere, die den Fehler getestet haben, hat Hutchins seinen Code nicht veröffentlicht, aus Angst, die böswillige Verwendung zu ermöglichen.
Wenn der Zeitplan für die Ausbeutung von BlueKeep drei Phasen umfasst - White-Hat-Hacker-Tests, ausgefeilte gezielte Angriffe und eine umfassendere "Free-For-All" -Regelung -, sind wir auf der zweiten Phase ", sagt Hutchins. "Um an einen Wurm zu gelangen, müsste es jemanden geben, der die Fähigkeiten zum Schreiben eines Exploits und das Motiv zum Erstellen eines Wurms besitzt - bis ein Arschloch einen Proof-of-Concept veröffentlicht, und dann alle Leute, die dies nicht tun." Ich weiß nicht, ob es ein Wurm wird."
Mach den Wurm
Am Mittwoch veröffentlichte die Sicherheitsfirma BitSight die Ergebnisse einer neuen Runde des Scannens auf den BlueKeep-Fehler, der nicht gepatchte Windows-Computer unter Windows 7 oder früher betrifft. Das Unternehmen stellte fest, dass rund 800.000 Computer weiterhin anfällig für Angriffe sind - ein deutlicher Rückgang gegenüber den fast 1 Million nicht gepatchten Computern, die BitSight Ende Mai gezählt hatte, aber immer noch genug, um im Falle der Auslösung eines Wurms Chaos zu verursachen. Der Sicherheitsforscher Rob Graham, der Gründer von Errata Security, hat in seinen eigenen Scans 730.000 ungepatchte Maschinen gefunden, verglichen mit seiner Zahl von etwas mehr als 920.000 im Mai. (Den Patch können Sie hier herunterladen.)
"Sie wollen nicht das Land sein, das WannaCry 2.0 ausgelöst hat."
Jake Williams, Rendition Infosec
Laut der Analyse von BitSight zu den IP-Adressen dieser anfälligen Computer sind einzelne PCs, die über Internetdienstanbieter mit dem Internet verbunden sind, nach wie vor am anfälligsten. Mehr als 30 Prozent der PCs sind nicht gepatcht. Andere Sektoren wie Bildung, Regierung, Versorger und Technologiefirmen machen fast 5 Prozent der exponierten Maschinen aus. Laut Dan Dahlberg, Leiter der Sicherheitsforschung bei BitSight, liegt dies wahrscheinlich an umfangreichen, unzähligen Beständen an Servern und Legacy-Software, die sich nur schwer patchen lassen, ohne Anwendungen zu beschädigen. Und das sind nur die Maschinen, die für das öffentliche Internet sichtbar und nicht hinter einer Firewall versteckt sind.
"Im Laufe der Jahre gab es nur sehr wenige dieser Situationen, in denen sich eine Sicherheitsanfälligkeit als so wormbar herausgestellt hat", sagt Dahlberg. "Es ist immer noch nur eine Funktion der Zeit, bis jemand mit schändlicheren Endzielen etwas entwickeln könnte."
Der offensichtliche Vergleichspunkt ist EternalBlue, ein Hacking-Tool, das der NSA von mysteriösen Hackern, den Shadow Brokers, gestohlen wurde. EternalBlue wurde 2017 öffentlich durchgesickert und in die Würmer WannaCry und NotPetya integriert, die beide weltweit Schaden anrichteten. Aber dank der Shadow Brokers war EternalBlue für jeden verfügbar, der es wollte. Jeder Hacker, der BlueKeep ausnutzen möchte, muss sein Hacking-Tool von Grund auf neu erstellen. Hierfür sind Reverse Engineering-Informationen zur Sicherheitsanfälligkeit des Microsoft-Patches für den Fehler erforderlich, der eine Windows-Bildschirmfreigabefunktion namens Remotedesktopprotokoll oder RDP betrifft. Laut Marcus Hutchins übersteigt diese Aufgabe nachweislich die technischen Fähigkeiten eines durchschnittlichen Cyberkriminellen oder eines Internet-Vandals, bei dem es um die Beobachtung der Welt geht.
"Es ist eine sehr nischenhafte Fähigkeit", sagt Hutchins über das RDP-Reverse Engineering, das es ihm ermöglichte, den Fehler auszunutzen. "Angreifer, die Geräte mit Masseninfektion umgehen, schreiben wahrscheinlich keinen BlueKeep-Exploit."
Eine dünne blaue Linie
Die Lücke zwischen dem BlueKeep-Fehler und einem tatsächlichen BlueKeep-Hacking-Tool ist zum Teil auf die heiklen Mechanismen der Sicherheitsanfälligkeit zurückzuführen. RDP enthält eine Reihe von "Kanälen", mit denen Computer verschiedene Informationen gemeinsam nutzen können - einen Kanal für visuelle Zwecke, einen für Audio und einen anderen für die gemeinsame Nutzung von Dateien. Ein undurchsichtiger RDP-Kanal enthält jedoch einen Fehler, der als Ausgangspunkt für BlueKeep dient. Der Kanal soll "Zeiger" enthalten, mit denen Befehle aus Codebibliotheken auf dem Computer abgerufen werden können, mit dem ein Benutzer verbunden ist. Ein Hacker kann sie jedoch gegen eigene Zeiger austauschen, sodass sie stattdessen schädlichen Code ausführen, den der Hacker in den Arbeitsspeicher des Computers geschrieben hat - auch indem er ihn über diesen RDP-Kanal lädt - und so ihre eigenen Befehle auf einem Computer des Opfers ausführen.
Andy Greenberg ist ein WIRED-Sicherheitsautor und Autor des kommenden Buches Sandworm: Eine neue Ära des Cyberwar und die Jagd nach den gefährlichsten Hackern des Kremls.
Der Haken ist jedoch, dass ein Sicherheitsschutz in Windows, der als Adressraum-Layout-Randomization (ASLR) bezeichnet wird, die Position des Codes im Speicher nach dem Zufallsprinzip bestimmt. Selbst wenn der Hacker seine böswilligen Befehle eingegeben hat, kann er nicht sicher sein, wohin er im Speicher "zeigen" soll, um sie zu finden. Hacker versuchen möglicherweise eine Technik namens "Heap-Spritzen", bei der sie den Code so oft wie möglich in den Speicher kopieren, um die Wahrscheinlichkeit zu erhöhen, dass ihr "Zeiger" trifft. Das Ergebnis bleibt jedoch ein unzuverlässiger Exploit, der wahrscheinlich zum Absturz des Computers führt anstatt die Kontrolle darüber zu übernehmen.
Hutchins umgeht die ASLR-Hürde und verlangt nach einem weiteren Trick, den er nicht auf der Platte veröffentlichen wollte. "Es gibt viel mehr chirurgische Methoden, die eine viel höhere Wahrscheinlichkeit für eine erfolgreiche Ausbeutung bieten", sagt er. Und dieser Trick könnte die letzte echte Barriere sein, die eine Flut von BlueKeep-Angriffen zurückhält.
Unterdessen gibt es kaum Grund zu der Annahme, dass heimliche, hoch entwickelte Hacker BlueKeep nicht bereits im Verborgenen ausnutzen, sagt Jake Williams, ein ehemaliger NSA-Hacker und Gründer der Firma Rendition Infosec. "Jeder Nationalstaat mit einem ernsthaften CNE-Programm hat zweifellos seinen eigenen funktionierenden Exploit entwickelt", sagt Williams und verwendet das Branchenkürzel CNE für "Computernetzwerk-Exploit". Obwohl er in freier Wildbahn keine Beweise dafür gesehen hat - und Microsoft auch nicht, als WIRED das Unternehmen fragte -, weist Williams darauf hin, dass der Fehler über eine verschlüsselte Verbindung ausgenutzt werden kann, was die Erkennung möglicherweise erschwert. 1
