Seit Mai 2019 ist die Microsoft Windows Sicherheitslücke BlueKeep ein besorgniserregendes Thema unter IT-Sicherheitsforschern in aller Welt. Am 14. Mai hatte Microsoft auf Drängen der amerikanischen NSA sogar ein Notfall-Patch hierfür veröffentlicht. Anfang Juli waren allerdings noch etwas mehr als 805.000 Rechner der Gefahr ungeschützt ausgesetzt.

Ein Internet Scan der Sicherheitsfirma BitSight nach durch BlueKeep angreifbaren Systemen mit Remote-Desktop-Protokolldiensten, kam zu diesem Ergebnis. Nicht ganz 1 Million oder etwa 18 % der anfälligen Systeme waren seit Mai gepatcht worden. Täglich, so ergab die Auswertung, werden nur 5.225 Systeme in aller Welt gesichert, 850 davon gepatcht.

Die BlueKeep-Schwachstelle, ein RCE-Fehler offiziell gelistet als CVE-2019-0708, existiert in Remote Desktop Diensten und betrifft ältere Versionen von Windows, einschließlich Windows 7, Windows XP, Server 2003, Server 2008 und Server 2008 R2. BlueKeep ist eine Schwachstelle im Kerneltreiber termdd.sys der Dienste. Was BlueKeep so gefährlich macht, ist, dass es wurmbar gemacht werden kann. Dann kann es sich selbst von Rechner zu Rechner ausbreiten. Die Voraussetzungen für eine Infektionswelle auf der Stufe von WannaCry sind hier definitiv gegeben.

Laut der BitSight-Analyse haben folgende Branchen am schnellsten mit dem Patchen von BlueKeep regiert: Rechtswesen, gemeinnützig/NGO und Luft- und Raumfahrt/Verteidigung. Dagegen haben die Konsumgüter-, Versorgungs- und Technologiebranchen fast gar nicht reagiert. Der Telekommunikations- und Bildungsbereich haben die am wenigsten gepatchten Systeme. Experten gehen aber davon aus, dass es daran liegt, dass Dienstleister hier oft „Transit“-Dienste anbieten. Die anfälligen Systeme gehören Verbrauchern und Studenten. Geografisch gesehen befinden sich die meisten angreifbaren Rechner in China und den Vereinigten Staaten. In den USA gibt es etwa 105.170 solcher Rechner.

Proof of Concepts veröffentlicht

Die Lage wird nun allerdings immer brisanter. Zuletzt wurde gemeldet, dass Forscher mittlerweile einen verwendbaren Code dazu entwickelt haben. Dennoch haben die besten IT-Spezialisten Probleme mit der exakten Umsetzung. Die bisher veröffentlichten und zugänglichen Proof of Concept Exploit-Codes lassen die gefährdeten Systeme meistens abstürzen.

In einem GitHub Archiv ist auch eine detaillierte schriftliche Analyse der Schwachstelle und ein unvollständiger Proof of Concept Python-Code gegen Windows XP zu finden. Der dafür verantwortliche Forscher erläutert alles haargenau in seinem PDF: Oxeb_bp_BlueKeep_Technical_Analysis. Da BlueKeep eine Schwachstelle im Kerneltreiber termdd.sys der Remote Desktop Dienste ist, muss eine Verbindung hergestellt werden. Dazu wird ein anfälliger RDP-Server benötigt und über den geöffneten Kanal MS_T120\x00 wird der bösartige Code übertragen und die Verbindung dann wieder beendet. Das würde die Schadsoftware auslösen und den eingeschmuggelten Code ausführen. Allerdings ist es weiterhin ein technisch ziemlich kniffliges Unterfangen. Die Heap-Speicherpools im Windows-Kernel müssen dazu nämlich mit Daten besprüht werden. Hierbei ist es wichtig, die genau richtig Menge an Daten zu nutzen, um die Ausführung des Codes zu ermöglichen. Das Konzept des sogenannten Heap-Spraying ist Exploit-Entwicklern und Sicherheitstechnikern bekannt, aber seither wurde es im Zusammenhang mit CVE-2019-0708 noch nicht öffentlich erklärt. Jetzt dürfte es zwar einfacher werden, denn neben dem veröffentlichten PDF gibt es auch das ausführliche Video dazu. Die Urheber haben allerdings ganz bewusst bestimmte Details ausgelassen. Dazu gehört die Information, welcher Shellcode benötigt wird, um eine Box zu übernehmen. Wie schon zuvor erwähnt, ist es eine Anleitung die nur für eine bestimmte Versionen, in dem Fall Windows XP funktioniert. Auch ohne die kniffeligen Details, könnten sich Hacker nun den Rest zusammenreimen. Und Oxeb_bp wies darauf hin, dass die von ihnen veröffentlichten Informationen bereits unter chinesischen Hackern bekannt seien. Wohlwissend, dass es nun die bisher detailliertesten öffentlich zugänglichen technischen Dokumentationen hierzu gibt, dürfte Administratoren nun sicherlich zur Eile bewegen.

Das PDF ist fast vollständig in chinesischer Sprache verfasst und verweist auf eine diesjährige Sicherheitskonferenz. Auch das chinesische Sicherheitsunternehmens Tencent KeenLab wird im PDF genannt. Manche IT-Sicherheitsforscher sind der Ansicht, dass die Anleitung zu einer fast absturzfreien Lösung führt. Andere wiederum sind nicht davon überzeugt, dass es reibungslos funktioniert, selbst wenn eine erfolgreiche Heap-Spray-Technik verwendet wird.

Im Juni machte ein funktionsfähiger Exploit die Runde. Ein Video von Zǝɹosum0x0 zeigte, wie ein angegriffener Windows 2008-Desktop in etwa 22 Sekunden übernommen werden konnte. Das RCE-Exploit wurde dabei mit einem Mimikatz-Tool eingesetzt. Auch McAfee hatte zuvor schon eine erfolgreiches Exploit veröffentlicht. Allerdings enthielt es nicht das für einen erfolgreichen Angriff wichtige Credential-Harvesting.

Käufliches Pen-Test Werkzeug mit funktionierendem Exploit

Das US-amerikanische Unternehmen Immunity Inc. hat sein funktionierendes BlueKeep-Exploit veröffentlicht. Es ist ein neues Modul innerhalb des käuflichen Penetrationtest-Toolkits CANVAS 7.23 des Unternehmens. Die Version ist offiziell erhältlich seit dem 23. Juli. CANVAS-Lizenzen kosten mehrere Zehntausend US-Dollar. Aber Hacker mit bösartigen Absichten sind dafür bekannt, solche Toolkits zu rechtmäßig zu kaufen oder unrechtmäßig zu erwerben.

Ein Immunity Inc. Unternehmenssprecher sagte dazu:

„Unser Produkt Canvas enthält über 800 Exploit. Für alle, einschließlich BlueKeep, gibt es einen Patch. Wir sind zufällig das erste kommerzielle Unternehmen, das BlueKeep in seine Produktpalette aufgenommen hat, sodass Unternehmen testen können, ob ihre exponierten RDP-fähigen Systeme tatsächlich gegen die Schwachstelle geschützt sind. Außerdem ist unsere Version nicht selbstvermehrend (also kein Wurm).“

CEO Dave Aitel, sagte, dies sei das Ergebnis ihrer eigenen Forschungen.

Warum BlueKeep so anspruchsvoll ist

Von einer BlueKeep Schwachstelle bis zu einem funktionierenden BlueKeep-Hacking-Tool ist eine komplizierte Sache. Die Schwachstelle selbst ist der Kasus Knaxus. Das RDP enthält einige Gemeinschaftskanäle, über die Rechner Informationen senden. Der Malware-Forscher Marcus Hutchins von Kryptos Logic beschreibt das so:

„Es gibt einen Kanal für Bildmaterial, einen für Audio und einen anderen für den Dateien-Austausch. Und in einem dieser Kanäle steckt die Schwachstelle.“

„Aber“,

so der Experte,

„er sei so konzipiert, dass er Pointer enthält, die Befehle aus Codebibliotheken auf dem verbundenen Rechner, aufrufen können. Hacker können diese gegen eigene Pointer austauschen und so bösartigen Code ausführen, der zuvor im Rechner über eben diesen einen Kanal abgelegt wurde“

Er erklärt weiter, dass der Haken daran ein Sicherheitsschutz in Windows sei, bekannt als Randomisierung des Adressraumlayouts oder ASLR, der die Position des Codes im Speicher zufällig bestimmt.

Selbst wenn der Hacker also seine bösartigen Befehle eingegeben hat, kann er nicht sicher sein, wohin er im Speicher „zeigen“ soll, um sie zu finden. Jetzt können Hacker auf die „Heap Spraying“ Technik zurückgreifen. Dabei wird der Code so oft wie möglich in den Speicher kopiert, und die Wahrscheinlichkeit erhöht, dass ihr „Pointer“ trifft. Allerdings ist dieser Angriff nicht sehr zuverlässig. Der angegriffene Rechner wird wahrscheinlich abstürzen. Der IT-Forscher Hutchins selbst kennt den Trick, dieses Absturzproblem aus der Welt zu schaffen – behält ihn aber für sich.

Wie stehts um die Bedrohungslage?

Ende Mai begannen Unbekannte, das Internet aggressiv nach Windows-Systemen zu durchscannen, die für den BlueKeep-Fehler anfällig sind. Seitdem gesellen sich immer mehr Kriminelle dazu. Zuletzt befand sich das Botnet aus entführten Linux-Servern namens WatchBog unter den Scannern. Sicherheitsforscher bei Intezer Labs haben beobachten können, dass die selben Macher hinter WatchBog, kürzlich einen BlueKeep-Scanner zu ihrer Malware hinzugefügt haben. Ihr Ziel ist das Sammeln von anfälligen Systemen als Angriffsziele oder zum Verkauf an Interessierte.

Aber das befürchtete BlueKeep-Desaster ist bisher noch nicht eingetreten. Experten gehen davon aus, dass staatliche Hackergruppen BlueKeep aber durchaus schon ausnutzen. Für andere Cyberkriminelle ist die technische Umsetzung allerdings wohl weiterhin eine Nummer zu schwierig.

Am anfälligsten sind, laut der BitSight-Analyse einzelne Rechner, die über ISPs mit dem Internet verbunden sind. Über 30 % solcher Rechner sind derzeit noch ungepatcht. „Etwa 5 % der anfälligen Rechner stecken in einem Wust aus Servern mit Legacy-Software, die schwer zu patchen sind ohne dabei Anwendungen zu zerstören“, sagte der BitSight Direktor Dan Dahlberg. Er geht davon aus, dass das nur die Rechner sind, die für das öffentliche Internet sichtbar sind und sich nicht hinter einer Firewall verstecken.

Langsame Patch-Kultur

Laut den IT-Experten gibt es verschiedene Gründe für das langsame Patchen der alten Systeme. Interessanterweise wissen die meisten Betroffenen gar nicht, dass sie ein anfälliges System im Netzwerk haben. Und es ist tatsächlich für viele Unternehmen bereits ein großes Problem, alle anfälligen Rechner in einem Netzwerk zu finden. Einmal lokalisiert, ist das nächste Problem, dass diese Rechner für das Update offline genommen werden müssen. Die Gründe sind weit verstreut und meistens von sehr individueller Natur. Manchen passt ein Patch gerade nicht in den Zeitplan, andere harren aus, weil ohnehin ein neues System in der Pipeline ist. Und selbst wenn einige Betroffene willig sind zu patchen, ist das nicht immer ganz einfach. Viele der Rechner mit älteren Windows-Programmen, haben kein modernes Patch-Management-System oder Bestandskontrollen.

Marcus Hutchins, der selbst über einen funktionierenden Code verfügt, beschreibt es so:

„Die Zeitachse für BlueKeep Angriffe erfolgt in drei Stufen – White Hat Hacker-Tests, ausgeklügelte gezielte Angriffe und dann ein breiter angelegter Angriff. Wir befinden uns gerade auf Stufe zwei.“

Ziemlich unverblümt sagt Hutchins.

„Um einen nutzbaren Wurm hinzukommen, müsste jemand momentan die Fähigkeiten und die Motivation haben, einen Wurm zu kreieren. Wenn irgendein Arschloch dann einen Proof of Concept veröffentlicht, schafft es selbst der kleinste Hacker relativ schnell, einen Wurm zu basteln.“

Aber, so Hutchins weiter, sei es dennoch eine sehr nischenorientierte Fähigkeit mittels RDP Reverse Engineering, diese Schwachstelle auszunutzen. Angreifer, die massenweise Rechner infizieren möchten, werden sich wahrscheinlich kaum mit BlueKeep befassen.

Artikel von theregister.co.uk, 24.07.2019: With more hints dropped online on how to exploit BlueKeep, you’ve patched that Windows RDP flaw, right?
Artikel von arstechnica.com, 22.07.2019: Chances of destructive BlueKeep exploit rise with new explainer posted online
Artikel von zdnet.com, 25.07.2019: US company selling weaponized BlueKeep exploit
Artikel von darkreading.com, 17.07.2019: 800K Systems Still Vulnerable to BlueKeep
Artikel von yberscoop.com, 17.09.2019: More than 805,000 systems are still exposed to BlueKeep, study finds
Artikel von threatpost.com, 17.07.2019: Wormable BlueKeep Bug Still Threatens Legions of Windows Systems
Artikel von govinfosecurity.com, 17.07.2019: Despite BlueKeep Warnings, Many Organizations Fail to Patch
Artikel von wired.com, 17.07.2019: Why Microsoft’s BlueKeep Bug Hasn’t Wreaked Havoc—Yet

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0