Aktuelles, Branche - geschrieben von dp am Dienstag, Juli 9, 2019 18:01 - 2 Kommentare
Bluekeep droht zu WannaCry 2.0 zu werden
Patrick Steinmetz kritisiert nicht-gepatchte IT-Systeme in Unternehmens-Verbünden
[datensicherheit.de, 09.07.2019] Trotz des enormen Gefahrenpotenzials seien immer noch viele IT-Systeme anfällig für Cyber-Angriffe mittels „Bluekeep“, „weil sie noch nicht gepatcht wurden“, warnt Patrick Steinmetz, „DACH Sales“ bei BitSight. Neben Microsoft warnten auch Organisationen wie das BSI, die NSA und das Department of Homeland Security vor dieser Schwachstelle und rieten dringend zu Gegenmaßnahmen – sonst könnte ein Angriff ähnlich verheerende Folgen haben wie der mit „WannaCry“. Es sei „höchste Zeit zu patchen“. Neben der eigenen müssten sich aber Unternehmen mit vielen Lieferanten auch auf deren Cyber-Sicherheit verlassen können – „dabei hilft eine immer wichtiger werdende Unterdisziplin von ,Supply Chain Risk Management‘“.
Microsoft hat Sicherheitslücke Bluekeep entdeckt
Vor etwas mehr als einem Monat habe Microsoft die Sicherheitslücke „Bluekeep“ entdeckt, welche die schlimmsten Cyber-Angriffe seit der berüchtigten Ransomware-Attacke „WannaCry“ im Jahr 2017 ermöglichen könnte.
Steinmetz: „,WannaCry‘ konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor ,WannaCry‘ geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar.“
RDP-Sicherheitslücke birgt großes Gefahrenpotenzial
Mit „Bluekeep“ drohe sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung und Bereitstellung des Patches durch Microsoft seien immer noch fast eine Millionen Systeme mit extern exponiertem „Remote Desktop Protocol“ (RDP) ungepatcht.
Die als „Bluekeep“ bezeichnete RDP-Sicherheitslücke berge ein so großes Gefahrenpotenzial, dass neben Microsoft auch die National Security Agency (NSA) darüber informiere. Microsoft habe mehrere Blogposts darüber veröffentlicht. Die NSA gebe an, dass die terroristische Organisation ISIS nach Wegen suche, „Bluekeep“ für Cyber-Angriffe auszunutzen. Das Department of Homeland Security fordere jeden dazu auf, jetzt seine Systeme zu patchen.
Gemeinsamkeiten zwischen BlueKeep und WannaCry beunruhigend
„Die Gemeinsamkeiten zwischen ,BlueKeep‘ und ,WannaCry‘ sind beunruhigend. Beide sind das Ergebnis von RDP-Exploits. Beide sind Exploits, die ein Wurm ausnutzen kann, der sich dann automatisch über Systeme hinweg verbreiten würde, ohne dass eine Benutzerauthentifizierung oder -interaktion erforderlich ist“, erläutert Steinmetz.
Wenn trotz des „derart hohen Gefahrenpotenzials“ immer noch Systeme ungepatcht sind, stelle sich die Frage nach den Gründen dafür. Einer könnte sein, dass Unternehmen nicht so gewissenhaft sind wie sie sein sollten, wenn es um die Cyber-Sicherheit ihrer Lieferanten geht. Die Transparenz der Cyber-Sicherheit der Lieferkette – oder das Fehlen dieser Transparenz – sei ein großes Problem, besonders in unserer immer stärker vernetzten Welt.
Auch Lieferanten und Partner müssen ihre IT-Systeme routinemäßig patchen
Infolge der Globalisierung arbeiteten Unternehmen völlig selbstverständlich mit Anbietern aus der ganzen Welt zusammen, die IT-Sicherheit sehr unterschiedlich handhabten. „Wie können sie sicher sein, dass ihre Lieferanten und Partner ihre Systeme routinemäßig patchen, um sicherzustellen, dass sie vor Schwachstellen wie ,BlueKeep‘ und ,WannaCry, geschützt sind?“
Unternehmen könnten ihre Lieferanten einfach fragen, „ob sie ihre Sorgfaltspflicht erfüllen und auf gute Cyber-Hygiene achten“. Aber wenn die Lieferanten dann mit „ja“ antworten: „Wer weiß, ob das wirklich wahr ist?“ Unternehmen könnten von ihren Lieferanten auch verlangen, dass sie ihre IT-Sicherheit verbessern, aber die Unternehmen bräuchten dann immer noch einen Weg, um zu prüfen, dass diese Verbesserungen stattgefunden haben und erfolgreich waren („vertrauen, aber überprüfen“). Unternehmen könnten Lieferanten auch von ihrem Netzwerk trennen, aber das könne je nach Wichtigkeit des Lieferanten zu enormen Störungen im eigenen Unternehmen führen.
Cyber-Risiken senken: Unternehmen benötigen Informationen, welche Lieferanten es ernst meinen
Ein besserer Ansatz sei stattdessen, Transparenz über die Cyber-Sicherheit der Lieferanten zu gewinnen. Diese Unterdisziplin von „Supply Chain Risk Management“ werde auch als Risikomanagement des Cyber-Risikos der Lieferanten bezeichnet. „Im Zuge dessen werden zuerst mit technischen Lösungen in Echtzeit und automatisiert die Sicherheitsschwachstellen von Lieferanten aufgespürt. Mit diesem Wissen können Unternehmen zweitens bei ihren Lieferanten darauf hinwirken, gezielt Schwachstellen zu beseitigen“, führt Steinmetz aus. Drittens werde mit den oben erwähnten technischen Lösungen dann überprüft, ob die Schwachstellen tatsächlich erfolgreich beseitigt wurden. „So gewinnen Unternehmen Daten darüber, welche ihrer Lieferanten es ernst meinen, Cyber-Risiken zu senken und dazu beitragen, dass die von ihrer Lieferkette ausgehenden Cyber-Risiken sinken.“
Ohne eine derartige, datenbasierte Transparenz blieben Unternehmen über ihre Lieferkette angreifbar. Genau darauf setzten Organisationen wie ISIS und andere Gruppen. Sie wüssten, dass manche Unternehmen Themen wie „Bluekeep“ nicht so viel Aufmerksamkeit schenken wie sie sollten. Denn die Angreifer bräuchten nur eine einzige passende Schwachstelle, um einen sich rasend schnell ausbreitenden Angriff durchzuführen.
Malware, die Bluekeep ausnutzt, nur noch eine Frage der Zeit
Derzeit seien bei Unternehmen aus den Branchen Telekommunikation, Bildung und Technologie noch die meisten Systeme ungepatcht und daher verwundbar für Angriffe über „Bluekeep“. Es könnte schwerwiegende Folgen haben, wenn ein Angreifer unter Ausnutzung von „Bluekeep“ in das Kommunikationsnetz eines Landes eindringen würde.
Unternehmen müssen so viele Schwachstellen wie möglich schließen, um Angreifern keine Gelegenheiten zu bieten. Sie sollten sich nicht zurücklehnen und darauf warten, „bis Malware erkannt wird, denn das ist nur eine Frage der Zeit“. Unternehmen dürften auch nicht das Risiko eingehen, ungewollt bei der Finanzierung eines Terroranschlags mitzuwirken, „indem sie bösartigen Akteuren erlauben, Zugang zu ihren Konten zu erlangen“. Stattdessen müssten Unternehmen Transparenz in ihre Lieferkette und die davon ausgehenden Cyber-Risiken bringen. Sie müssten Schwachstellen bei sich und bei ihren Lieferanten schließen. „Dazu brauchen sie Planung und Vorbereitung. Noch existiert so gut wie keine Malware, die ,Bluekeep‘ ausnutzt, aber das ist nur eine Frage der Zeit. Es ist jetzt Zeit zu handeln, bevor ,Bluekeep‘ zu ,WannaCry 2.0‘ wird“, betont Steinmetz.
Patrick Steinmetz: Zeit zu handeln, bevor „Bluekeep“ zu„WannaCry 2.0“ wird!
Weitere Informationen zum Thema:
NSA
NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows
Microsoft
TechNet / CVE-2019-0708
HomelandSecurityToday.us, 17.06.2019
New ISIS Cybersecurity Bulletin Shows Interest in Microsoft BlueKeep Bug
BITSIGHT, 11.06.2019
New Study: Organizations Struggle to Manage Cyber Risk in Their Supply Chains
datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte
datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019
datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen
2 Kommentare
A-Ha
Carsten Pinnow
Vielen Dank für Ihren Kommentar. Weitere Informationen finden Sie unter den Empfehlungen des NSA:
Kommentieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Leider ein (nur) sehr alarmistischer Artikel, ohne wirkliche Substanz: Was sind die Gemeinsamkeiten und Unterschiede von WannaCry und BlueKeep? Welche Lücke -genau- wird wie ausgenutzt? Der Verweis auf’s MS TechNet hat mir dabei auch nicht weitergeholfen. Schade!