Aktuelles, Experten - geschrieben von cp am Mittwoch, August 14, 2019 22:54 - noch keine Kommentare
DejaBlue: Warnung des BSI vor kritischer Windows-Schwachstelle
Von Microsoft bereitgestellte Updates sollten umgehend eingespielt werden
[datensicherheit.de, 14.08.2019] Nach der im Mai bekanntgewordenen Schwachstelle BlueKeep hat der Software-Hersteller Microsoft am gestrigen Patch-Day weitere, nach Angaben des BSI schwerwiegende, Schwachstellen in den Remote-Desktop-Services (RDS) für sein Betriebssystem Windows veröffentlicht und entsprechende Patches bereitgestellt. Diese werden medial unter dem Namen DejaBlue referenziert. Mindestens zwei dieser Schwachstellen sind wurmfähig, eine Schadsoftware kann sich daher selbstständig und ohne Zutun eines Anwenders weiterverbreiten. Dies ermöglicht Szenarien, die mit den Cyber-Angriffen WannaCry oder NotPetya vergleichbar sind, die im Mai und Juni 2017 erhebliche Schäden angerichtet hatten. Betroffen sind zahlreiche Windows-Versionen, darunter auch das aktuelle Betriebssystem Windows 10. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät allen die bereitgestellten Updates umgehend einzuspielen.
Exploit-Code für BlueKeep öffentlich geworden
Für die ältere Schwachstelle BlueKeep ist zudem jüngst ein sogenannter Exploit-Code öffentlich geworden. Damit erhöht sich die Wahrscheinlichkeit eines erfolgreichen Angriffs weiter. Noch immer sind allein in Deutschland über 10.000 direkt mit dem Internet verbundene Systeme – und damit eine weit größere Zahl an Endsystemen in Unternehmensnetzwerken – für diese Schwachstelle verwundbar, obwohl bereits seit Mai entsprechende Sicherheitsupdates zur Verfügung stehen.
„Das BSI schätzt diese Schwachstellen als äußerst kritisch ein und ruft Unternehmen genauso wie Bürgerinnen und Bürger auf, die verfügbaren Updates einzuspielen. Diese Schwachstellen ermöglichen Angriffsszenarien, die enormen wirtschaftlichen Schaden verursachen können und sollten daher absolut prioritär behandelt werden. Nach unserer Einschätzung ist es mit einer derartigen Häufung an Schwachstellen dieser Art nur noch eine Frage der Zeit, bevor es zu mit WannaCry vergleichbaren Cyber-Angriffen kommt“, so BSI-Präsident Arne Schönbohm.
Probleme mit Antiviren-Software
Probleme ergeben sich für Nutzer der Antiviren-Software Symantec bzw. Norton unter Windows 7 und Windows Server 2008. Diese können die bereitgestellten Windows-Updates nicht verarbeiten, in Folge kommt es zu Systemabstürzen. Daher hat Microsoft das Sicherheitsupdate für Systeme blockiert, auf denen diese AV-Programme installiert sind. Microsoft rät auch von einer manuellen Einspielung der Updates ab. Diese AV-Programme sollten bis zur Behebung des Problems vorübergehend deinstalliert werden, damit die Windows-Updates eingespielt werden können.
Sicherheitshinweise und Schutzmaßnahmen
Das BSI hat heute eine Cyber-Sicherheitswarnung an die Bundesverwaltung, Betreiber Kritischer Infrastrukturen, die Teilnehmer der Allianz für Cyber-Sicherheit und weitere Partner verschickt, die auf konkrete und grundsätzliche Schutzmaßnahmen hinweist:
- Es sollten Sicherheitsupdates (ggfs. nach entsprechenden Tests) eingespielt werden.
- Generell gilt für den RDP-Dienst, dass dieser deaktiviert sein sollte, wenn kein Bedarf besteht. Wenn RDP eingesetzt wird, sollten Verbindungen von außen – wenn möglich – auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.
- Falls entgegen der Empfehlungen aus individuellen Gründen die Sicherheitsupdates nicht sofort eingespielt werden können, sind auf Basis der Empfehlungen von Microsoft, die folgenden Maßnahmen als Workarounds umzusetzen:
- Verwendung von Network Level Authentication (NLA) für Systeme welche Windows 7, Windows Server 2008 und Windows Server 2008 R2. Dies reduziert das Risiko eines erfolgreichen Angriffs, da ein Angreifer bei aktivierter NLA im Besitz valider Anmeldeinformationen sein muss.
- Blockieren des TCP Ports 3389 an der Perimeter-Firewall und Einschränkung der internenen Kommunikationsverbindungen nach dem Whitelist-Ansatz [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html] (Dieser Port wird durch die Schwachstellen betroffenen Systeme verwendet)
- Zudem wird auf die generellen Schutzmaßnahmen vor wurmartiger Verbreitung und potentieller weitergehender Ausnutzung, wie etwa mittels Ransomwareinfektion, verwiesen [https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_1_1_Netzarchitektur_und_-design.html]
Weitere Informationen zum Thema:
datensicherheit.de, 19.07.2019
BlueKeep: Noch immer über 800.000 Systeme anfällig
datensicherheit.de, 09.07.2019
Bluekeep droht zu WannaCry 2.0 zu werden
datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte
datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren