Check Point Research hat seinen neuesten Global Threat Index für Mai 2019 veröffentlicht. Die Sicherheitsforscher mahnen Unternehmen, alle Systeme zu überprüfen und zu aktualisieren, die für den Microsoft RDP-Fehler „BlueKeep“ (CVE-2019-0708) unter Windows 7 und Windows Server 2008-Maschinen anfällig sind.
Die BlueKeep-Schwachstelle betrifft fast eine Million Maschinen, die am öffentlichen Internet hängen, darunter innerhalb der Netzwerke von Unternehmen. Die Schwachstelle gilt als kritisch, da sie keine Benutzer-Interaktion erfordert, um ausgenutzt zu werden. Das Remote Desktop Protocol (RDP) ist bereits ein etablierter, beliebter Angriffsvektor, der zur Installation von Ransomware wie SamSam und Dharma verwendet wurde.
Das Check Point Research-Team sieht derzeit viele Scannings, die aus mehreren Ländern stammen, Systeme auf die offene Lücke überprüfen und die erste Aufklärung vor einem Angriff sein könnten. Um dem entgegen zu wirken, bietet Check Point gegen diesen Angriff sowohl Netzwerk- als auch Endpunkt-Schutz, neben den relevanten Microsoft-Patches.
Maya Horowitz, Threat Intelligence and Research Director bei Check Point erklärt: „Die größte Bedrohung, die wir in den letzten Monaten gesehen haben, ist BlueKeep. Obwohl noch keine Angriffe zu beobachten sind, wurden mehrere, öffentliche Proof-of-Concept-Exploits entwickelt. Wir stimmen mit Microsoft und anderen Beobachtern der Branche überein, dass BlueKeep verwendet werden könnte, um Angriffe in ähnlichem Umfang der massiven WannaCry- und NotPetya-Kampagnen aus dem Jahr 2017 zu starten.“
„Ein einzelner Computer mit diesem Fehler kann verwendet werden, um als bösartiger Ausgangspunkt zu dienen, von dem ausgehend ein ganzes Netzwerk infiziert wird. Danach können alle infizierten Computer mit Internetzugang andere anfällige Geräte auf der ganzen Welt über das Internet infizieren – so kann sich der Schädling exponentiell und unaufhaltsam ausbreiten. Daher ist es wichtig, dass Unternehmen sich selbst – und damit auch andere – schützen und den Fehler jetzt reparieren, bevor es zu spät ist.“
Die Ratschläge der Sicherheitsforscher sollten auch angesichts der drei verbreitetsten Schädlinge in Deutschland im Monat Mai befolgt werden. Emotet, der unangefochtene König, dient seit Monaten dazu, als Vorhut in Systeme eingeschleust zu werden, um dann eine Hintertür für andere Schadprogramme zu öffnen.
Auf Platz zwei findet sich mit Ramnit als Neuling ein Wurm ein, der ebenfalls als Hintertür fungieren kann und sich über FTP-Server oder Wechseldatenträger verbreitet. Als drittes Programm kehrt Lokibot in die Bestenliste zurück, das auf den Diebstahl von Informationen spezialisiert ist, wie E-Mail-Konten und Passwörter. Für alle drei ist die offenliegende Schwachstelle im RDP-Service ein gefundenes Fressen.