Ein IT-Forscher des SANS Internet Storm Center veröffentlichte einen Bericht zu historischen Windows-Schwachstellen. Es stellte sich heraus, dass Hunderttausende Windows Rechner weiterhin anfällig sind gegen diese Schwachstellen.

Selbst nach etlichen Warnungen von Microsoft, Sicherheitsforschern und der amerikanischen NSA sind viele Rechner noch nicht gepatched worden. Zwar gehen Forscher davon aus, dass die meisten Unternehmen ihre Software zügig patchen, doch die hohe Zahl an ungepatchten Schwachstellen ist erschrecken.

Jan Kopriva von SANS schaute sich kürzlich historische Schwachstellen an. Solche, die seinerzeit für Furore sorgten, aber über die heute kaum noch jemand spricht. Laut Kopriva stellen sie nach wie vor eine echte und aktuelle Gefahr dar. Der Forscher suchte mittels der Suchmaschine Shodan nach SMBGhost und BlueKeep und wurde fündig. Ein Patch gegen BlueKeep, auch bekannt als CVE-2019-0708, wurde im Frühjahr 2019 veröffentlicht. Ein Jahr später, im März 2020, wurde SMBGhost bekannt gegeben. Dennoch sind heute über 100.000 Windows-Systeme immer noch nicht gegen diese Schwachstelle gepatcht.

Liste mit kritischen historischen Schwachstellen

Kopriva war besonders überrascht, dass einige wohlbekannte Schwachstellen ganz oben in seinen Suchergebnissen auftauchten. In seinem Bericht listet er folgende auf und schreibt:

• CVE-2015-1635, ein RCE im IIS-Webserver, für den glücklicherweise bisher niemand einen vollständigen Exploit veröffentlicht hat. Alle verfügbaren PoCs scheinen „nur“ zu Informationslecks und DoS zu führen.
• CVE-2019-10149, ein RCE in der Exim MTA, der unter anderem in einem NSA-Beratungsbericht erwähnt wurde. Er wurde aktiv ausgenutzt von einer russischen APT-Gruppe. Anfang 2020 wurden daher vermehrt Warnungen dazu herausgegeben.
• CVE-2019-0708, genannt BlueKeep.
• CVE-2014-0160, besser bekannt als Heartbleed.

Der Forscher war sehr überrascht zu sehen, dass gerade die zwei letzten Schwachstellen immer noch nicht vollständig gepachted wurden. Beispielsweise gibt es die BlueKeep Schwachstelle noch auf 240.000 aktiven Windows-Rechnern. Im Mai 2019 ergab ein gleichartiger Scan 950.000 gefährdete Rechner. Anfällig für die SMBGhost Schwachstelle sind derzeit noch über 103.000 Windows-Systeme. Es handelt sich um eine Schwachstelle im Server Message Block v3 (SMB)-Protokoll. Es wird mit aktuellen Windows-Versionen ausgeliefert und ist seit März 2020 bekannt.

Beide Schwachstellen ermöglichen es Angreifern, Windows-Systeme ferngesteuert zu kapern. Sie zählen zu den schwerwiegendsten Fehlern, die in den letzten Jahren bekannt wurden. Laut Kopriva gibt es aber noch mehr ähnliche Fehler und sie betreffen Millionen von internetfähigen Systemen. Kopriva nannte Systeme wie IIS-Server, Exim-E-Mail-Agenten, OpenSSL-Clients und auch WordPress-Webseiten. Die Schwachstelle Exim ist tatsächlich noch auf 268.000 Servern ungepatched. Wieso das so ist, kann Jan Kopriva nicht sagen. Ihn verwundert auch, dass nicht einmal die Warnungen der US-Cyber-Sicherheitsbehörden viel geholfen haben.

SANS Sicherheitsexperte zum Patchen von Schwachstellen

In einem Kommentar machte sich SANS Sicherheitsexperte Johannes Ullrich auch so seine Gedanken darüber. Er schrieb:

„Bevor jemand die Pandemie dafür verantwortlich macht… wenn wir zurückblicken auf damals, als es Code Red und SQL Slammer gab, das Ergebnis ist das gleiche: Die meisten Systeme werden innerhalb von 30 Tagen gepatcht. Der Rest wird nie gepatcht. Einige Unternehmen kümmern sich darum, andere nicht. Viele solcher Systeme werden schlichtweg nicht gewartet und warten nur darauf, einen langsamen Tod durch Ransomware oder vernachlässigter Hardware zu sterben. Einsam und vergessen in irgendeinem Serverschrank. Aber wir sprechen hier ja nicht von schwer zu reparierenden IoT-Geräten. Für diese ist es manchmal schwierig, überhaupt Aktualisierungen zu finden.

In den meisten Fällen handelt es sich jedoch um Windows- und Linux-Systeme. Microsoft hat mehr und bessere Tools bereitgestellt, um das Patchen einfacher, zuverlässiger und weniger riskant zu machen. Dasselbe gilt für alle wichtigen Linux Dinge. Aber wenn Unternehmen nichts dazulernen wollen, wenn über diese neuen Tools gesprochen wird und einfach das tun, was sie immer getan haben, nämlich nichts, werden wir am Ende so was ähnliches wie geladene ungesicherte Schrotflinten haben, die über das Internet verstreut sind und darauf warten, von einem zufällig vorbeilaufenden Kind abgeholt und benutzt zu werden.“

Artikel von isc.sans.edu, 16.11.2020: Heartbleed, BlueKeep and other vulnerabilities that didn’t disappear just because we don’t talk about them anymore
Artikel von zdnet.com, 17.11.2020: More than 245,000 Windows systems still remain vulnerable to BlueKeep RDP bug

Beitragsbild: Public Domain, Creative Commons CC0 von aitoff auf pixabay.com.