Im Mai 2019 stellten Sicherheitsforscher fest, dass sie „aktiv ausgenutzt“ wird

[datensicherheit.de, 24.02.2020] Die Schwachstelle „BlueKeep“ und ihre Gefahr für die Gesundheitsversorgung seien nicht gebannt – viele Betreiber von Krankenhäusern handelten fahrlässig, weil sie ihre medizinischen Geräte nicht aktualisierten, obwohl diese Sicherheitslücke längst bekannt sei und Patches veröffentlicht worden seien. Christine Schönig, „Regional Director Security Engineering“ bei Check Point Software Technologies, kommentiert die anhaltende Bedrohung.

BlueKeep hält Krankenhäuser noch immer auf Trab

Das National Cyber Security Centre in Großbritannien hat demnach 2019 die gefährliche Sicherheitslücke „BlueKeep“ (CVE-2019-070) aufgedeckt. Diese habe neben Unternehmen auch sehr sensible Einrichtungen, wie eben Krankenhäuser, bedroht.
Im Mai 2019 stellten Sicherheitsforscher der Firma Check Point Software Technologies nach eigenen Angaben fest, dass sie „aktiv ausgenutzt“ wird. Konkret handele es sich um eine Schwachstelle im „Remote Desktop Protocol“ (RDP), welche die Ausführung schädlichen Codes über den Fernzugriff ermögliche. Schönig moniert: „Nun ist beinahe ein Jahr seit der Entdeckung vergangen, doch die Bedrohung ist nicht gebannt.“

Foto: Check Point Software Technologies

Christine Schönig: Segmentierung des Netzwerks über zentrale Sicherheitsplattform zu empfehlen!

22 Prozent aller Windows-Geräte in Klinken weiterhin anfällig für BlueKeep

Eine Studie von CyberMDX habe ergeben, dass 22 Prozent aller „Windows“-Geräte in Klinken weiterhin anfällig für „BlueKeep“ seien. Doch damit nicht genug, so Schönig: „Der Blick auf medizinische Geräte, die ans Internet angeschlossen sind und mit ,Windows‘ betrieben werden, zeigt, dass die Schwachstelle bei 45 Prozent noch offen liegt.“
In Gefahr brächten sich die Betreiber der Krankenhäuser selbst, da sie die Systeme schlicht nicht aktualisiert hätten, „obwohl entsprechende Patches längst verfügbar sind, wie die Studie weiter bemerkt“.

BlueKeep auszunutzen, um persönliche Informationen über Kranke zu stehlen

„Die Verantwortlichen in den Kliniken müssen sich dringend bewusst werden, welcher Gefahr sie ihre Patienten aussetzen, wenn die Systeme ungesichert gegen bekannte IT-Schwachstellen sind“, fordert Schönig. „BlueKeep“ lasse sich ausnutzen, um persönliche Informationen über die Kranken zu stehlen, zu ihrer Therapierung und im schlimmsten Fall sogar zur Manipulation der Internet-fähigen, medizinischen Geräte.
Um dem entgegenzuwirken, empfiehlt sich laut Schönig „eine Segmentierung des Netzwerks über eine zentrale Sicherheitsplattform, um sensible Bereiche zu trennen“. So könnten Hacker im Fall eines erfolgreichen Angriffs keine weiteren Bewegungen im Netzwerk durchführen, um die gesamte IT-Infrastruktur zu infizieren.

Weitere Informationen zum Thema:

Check Point
Healthcare Breaches Affected Nearly One Million US Patients: The Security Risks of Medical IoT

CYBER MDX
2020 Vision: A Review of Major IT & Cyber Security Issues Affecting Healthcare

datensicherheit.de, 27.07.2019
BlueKeep: Patrick Steinmetz warnt vor ersten Exploits

Weiterhin rund 800.000 Systeme für Sicherheitslücke anfällig

[datensicherheit.de, 27.07.2019] Seit gut fünf Wochen ist die „BlueKeep“-Sicherheitslücke inzwischen bekannt, doch trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind offensichtlich viele Systeme weiterhin ungepatcht – und bleiben damit anfällig für Cyber-Angriffe. Tatsächlich seien seit Ende Mai 2019 nur 17,18 Prozent der Systeme gepatcht worden und es blieben 805.665 Systeme online und verwundbar. Die Bedrohung werde „immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können“. Das Department of Homeland Security (DHS) in den USA habe einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichteten, dass sie über einen „Remote Code Exploit“ verfügten. Umso wichtiger werde es, zu patchen. BitSight hat nach eigenen Angaben einige Wochen nach der ersten Dateneinsicht nun erneut untersucht, inwiefern der Patch in der Zwischenzeit in verschiedenen Branchen und Ländern ausgerollt wurde. Die Ergebnisse erläutert Patrick Steinmetz, „DACH Sales Manager“ bei BitSight, in seinem Kommentar.

Patrick Steinmetz

Patrick Steinmetz: Bedrohung immer mehr reales Risiko, denn mittlerweile existieren erste Exploits…

Patchen, bevor BlueKeep Ransomware Systeme verschlüsseln lässt!

Vor ungefähr fünf Wochen sei die „BlueKeep“-Sicherheitslücke bekannt geworden. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt habe, seien viele Systeme weiterhin ungepatcht und blieben damit anfällig für Cyber-Angriffe.
Das sei riskant, denn die Sicherheitslücke „BlueKeep“ im „Remote Desktop Protocol“ (RDP) weise ein ähnlich hohes Gefahrenpotenzial wie „EternalBlue“ auf – die Sicherheitslücke, welche die verheerende Ransomware-Attacke „WannaCry“ im Jahr 2017 ausgenutzt habe. Neben Microsoft rieten daher auch Organisationen wie das BSI und die NSA dringend zu Gegenmaßnahmen.

Abbildung: BitSight

Unternehmen der Rechtsbranche besonders häufig auf BlueKeep reagiert

Unternehmen der Rechtsbranche Vorreiter beim Patchen gegen BlueKeep

Im Vergleich zum Stand vom 31. Mai 2019 sei die Zahl der für „BlueKeep“ anfälligen Systeme bis zum 2. Juli 2019 um 17,18 Prozent gesunken. Das entspreche 167.164 gepatchten Systemen. Weltweit seien am 2. Juli 2019 noch 805.665 für diese Sicherheitslücke anfällige Systeme online gewesen.
Die in obiger Graphik aufgeführten Branchen seien bereits bei der Datenanalyse durch BitSight Ende Mai 2019 unterschiedlich anfällig für BlueKeep (blau) gewesen. Mittlerweile hätten Organisationen aus allen Branchen mit Patches auf die Sicherheitslücke reagiert. Besonders häufig hätten Unternehmen aus der Rechtsbranche (32,0% weniger betroffene Systeme), Nonprofit/NGOs (27,1% weniger) und Luft- und Raumfahrt/Verteidigung (24,1% weniger) reagiert (rot). Unternehmen anderer Branchen hätten seltener gepatcht: In der Konsumgüterbranche habe BitSight 5,3 Prozent weniger, bei Versorgern 9,5 Prozent weniger und in der Technologiebranche 11,7 Prozent weniger betroffene Systeme gezählt.
Stark gefährdet sind demnach weiterhin die Telekommunikationsbranche und der Bildungssektor, gefolgt von der Technologiebranche, Versorgern sowie Regierung/Politik. Die hohe Gefährdungsrate von Organisationen aus Telekommunikation und Bildung liege teilweise daran, dass sie oft „Transit Services“ anböten und sich viele der Sicherheitslücken auf den Systemen ihrer Kunden befänden.

Unterschiedliceh Reaktionen auf BlueKeep

„Organisationen, die dafür sorgen, dass ihre Systeme gepatcht sind, erhöhen augenblicklich die Cyber-Sicherheit ihrer IT.“ Das führe auch zu Verbesserungen ihres IT-Sicherheitsratings. „Organisationen, die zeitnah gepatcht haben, erhalten überwiegend eine höhere und somit bessere Einstufung beim IT-Sicherheitsrating, als Unternehmen, deren Systeme noch anfällig sind.“
In einigen Ländern sei ein deutlicher Rückgang angreifbarer Systeme sichtbar. China weise mit einem Rückgang von 23,9 Prozent und 109.670 gepatchten Systemen die höchste Verbesserung in absoluten Zahlen auf. In den USA sei die Anzahl der gefährdeten Systeme auf 26.787 gesunken, was einem Rückgang von 20,3 Prozent entspreche. Kolumbien (21,3% Rückgang), Lettland (20,7% Rückgang) und Guatemala (45,4% Rückgang) wiesen ebenfalls eine hohe Patch-Rate auf. Auch nach den jüngsten Fortschritten hätten China und die USA weiterhin die meisten exponierten Systeme.„BitSight beobachtete allerdings auch in einigen Ländern eine Ausbreitung von ,Bluekeep‘. Vor allem in Südkorea wurden zusätzliche 3.430 gefährdete Systeme gezählt, was einem Anstieg um 14,5 Prozent entspricht. In Estland wurden 146 mehr angreifbare Systeme gezählt, der Anstieg beträgt hier 32,2 Prozent.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2019
BlueKeep: Noch immer über 800.000 Systeme anfällig / Schwachstelle könnte Schadenspotenzial von „WannaCry“ oder „NotPetya“ ausbilden

datensicherheit.de, 09.07.2019
Bluekeep droht zu WannaCry 2.0 zu werden / Patrick Steinmetz kritisiert nicht-gepatchte IT-Systeme in Unternehmens-Verbünden

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte / Die Problematik von unentdeckten Cyberrisiken in laufenden Versicherungsverträgen – ein Kommentar von René Schoenauer, Guidewire

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019 / Windows-RDP-Schwachstelle BlueKeep hält IT-Sicherheit in Atem

[datensicherheit.de, 19.07.2019] Das „Tenable Research-Team“ hat nach eigenen Angaben herausgefunden, dass noch immer viele Systeme anfällig für die kürzlich bekannt gewordene Schwachstelle „BlueKeep“ sind. Bob Huber, „CSO“ bei Tenable, warnt in seinem Kommentar hierzu, dass noch immer über 800.000 Systeme anfällig für diese Schwachstelle seien.

BlueKeep bedroht Hunderttausende Systeme

„Jüngste Schätzungen zeigen, dass noch immer über 800.000 Systeme anfällig für die ,BlueKeep‘-Schwachstelle sind – fast zwei Monate, nachdem Patches bereitgestellt wurden“, so Huber. Auch wenn die Zahl der ungepatchten Systeme seit Mai 2019 gesunken sei, reiche das noch nicht.

Unternehmen sollten BlueKeep nicht einfach als Hype abtun

Zwar gebe es „in der Security-Branche eine Menge Panikmache“, aber das sei hier nicht der Fall – Unternehmen und Anwender sollten „BlueKeep“ nicht einfach als nächsten „Hype“ abtun. Dafür sei diese Schwachstelle zu gefährlich, warnt Huber: „BlueKeep“ habe die besten Voraussetzungen, das nächste „WannaCry“ oder „NotPetya“ zu werden. Huber betont: „Unser dringender Appell: Patchen Sie!“

Weitere Informationen zum Thema:

datensicherheit.de, 09.07.2019
Bluekeep droht zu WannaCry 2.0 zu werden

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

Patrick Steinmetz kritisiert nicht-gepatchte IT-Systeme in Unternehmens-Verbünden

[datensicherheit.de, 09.07.2019] Trotz des enormen Gefahrenpotenzials seien immer noch viele IT-Systeme anfällig für Cyber-Angriffe mittels „Bluekeep“, „weil sie noch nicht gepatcht wurden“, warnt Patrick Steinmetz, „DACH Sales“ bei BitSight. Neben Microsoft warnten auch Organisationen wie das BSI, die NSA und das Department of Homeland Security vor dieser Schwachstelle und rieten dringend zu Gegenmaßnahmen – sonst könnte ein Angriff ähnlich verheerende Folgen haben wie der mit „WannaCry“. Es sei „höchste Zeit zu patchen“. Neben der eigenen müssten sich aber Unternehmen mit vielen Lieferanten auch auf deren Cyber-Sicherheit verlassen können – „dabei hilft eine immer wichtiger werdende Unterdisziplin von ,Supply Chain Risk Management‘“.

Microsoft hat Sicherheitslücke Bluekeep entdeckt

Vor etwas mehr als einem Monat habe Microsoft die Sicherheitslücke „Bluekeep“ entdeckt, welche die schlimmsten Cyber-Angriffe seit der berüchtigten Ransomware-Attacke „WannaCry“ im Jahr 2017 ermöglichen könnte.
Steinmetz: „,WannaCry‘ konnte sich nur deshalb so weit ausbreiten und solch immense Schäden verursachen, weil Tausende von Systemen nicht gepatcht waren. Microsoft hatte zwar einen Patch bereitgestellt, der vor ,WannaCry‘ geschützt hätte, aber dieser Patch war bei vielen Systemen nicht aufgespielt worden. So blieben diese Systeme verwundbar.“

RDP-Sicherheitslücke birgt großes Gefahrenpotenzial

Mit „Bluekeep“ drohe sich die Geschichte zu wiederholen: Einige Wochen nach der Entdeckung und Bereitstellung des Patches durch Microsoft seien immer noch fast eine Millionen Systeme mit extern exponiertem „Remote Desktop Protocol“ (RDP) ungepatcht.
Die als „Bluekeep“ bezeichnete RDP-Sicherheitslücke berge ein so großes Gefahrenpotenzial, dass neben Microsoft auch die National Security Agency (NSA) darüber informiere. Microsoft habe mehrere Blogposts darüber veröffentlicht. Die NSA gebe an, dass die terroristische Organisation ISIS nach Wegen suche, „Bluekeep“ für Cyber-Angriffe auszunutzen. Das Department of Homeland Security fordere jeden dazu auf, jetzt seine Systeme zu patchen.

Gemeinsamkeiten zwischen BlueKeep und WannaCry beunruhigend

„Die Gemeinsamkeiten zwischen ,BlueKeep‘ und ,WannaCry‘ sind beunruhigend. Beide sind das Ergebnis von RDP-Exploits. Beide sind Exploits, die ein Wurm ausnutzen kann, der sich dann automatisch über Systeme hinweg verbreiten würde, ohne dass eine Benutzerauthentifizierung oder -interaktion erforderlich ist“, erläutert Steinmetz.
Wenn trotz des „derart hohen Gefahrenpotenzials“ immer noch Systeme ungepatcht sind, stelle sich die Frage nach den Gründen dafür. Einer könnte sein, dass Unternehmen nicht so gewissenhaft sind wie sie sein sollten, wenn es um die Cyber-Sicherheit ihrer Lieferanten geht. Die Transparenz der Cyber-Sicherheit der Lieferkette – oder das Fehlen dieser Transparenz – sei ein großes Problem, besonders in unserer immer stärker vernetzten Welt.

Auch Lieferanten und Partner müssen ihre IT-Systeme routinemäßig patchen

Infolge der Globalisierung arbeiteten Unternehmen völlig selbstverständlich mit Anbietern aus der ganzen Welt zusammen, die IT-Sicherheit sehr unterschiedlich handhabten. „Wie können sie sicher sein, dass ihre Lieferanten und Partner ihre Systeme routinemäßig patchen, um sicherzustellen, dass sie vor Schwachstellen wie ,BlueKeep‘ und ,WannaCry, geschützt sind?“
Unternehmen könnten ihre Lieferanten einfach fragen, „ob sie ihre Sorgfaltspflicht erfüllen und auf gute Cyber-Hygiene achten“. Aber wenn die Lieferanten dann mit „ja“ antworten: „Wer weiß, ob das wirklich wahr ist?“ Unternehmen könnten von ihren Lieferanten auch verlangen, dass sie ihre IT-Sicherheit verbessern, aber die Unternehmen bräuchten dann immer noch einen Weg, um zu prüfen, dass diese Verbesserungen stattgefunden haben und erfolgreich waren („vertrauen, aber überprüfen“). Unternehmen könnten Lieferanten auch von ihrem Netzwerk trennen, aber das könne je nach Wichtigkeit des Lieferanten zu enormen Störungen im eigenen Unternehmen führen.

Cyber-Risiken senken: Unternehmen benötigen Informationen, welche Lieferanten es ernst meinen

Ein besserer Ansatz sei stattdessen, Transparenz über die Cyber-Sicherheit der Lieferanten zu gewinnen. Diese Unterdisziplin von „Supply Chain Risk Management“ werde auch als Risikomanagement des Cyber-Risikos der Lieferanten bezeichnet. „Im Zuge dessen werden zuerst mit technischen Lösungen in Echtzeit und automatisiert die Sicherheitsschwachstellen von Lieferanten aufgespürt. Mit diesem Wissen können Unternehmen zweitens bei ihren Lieferanten darauf hinwirken, gezielt Schwachstellen zu beseitigen“, führt Steinmetz aus. Drittens werde mit den oben erwähnten technischen Lösungen dann überprüft, ob die Schwachstellen tatsächlich erfolgreich beseitigt wurden. „So gewinnen Unternehmen Daten darüber, welche ihrer Lieferanten es ernst meinen, Cyber-Risiken zu senken und dazu beitragen, dass die von ihrer Lieferkette ausgehenden Cyber-Risiken sinken.“
Ohne eine derartige, datenbasierte Transparenz blieben Unternehmen über ihre Lieferkette angreifbar. Genau darauf setzten Organisationen wie ISIS und andere Gruppen. Sie wüssten, dass manche Unternehmen Themen wie „Bluekeep“ nicht so viel Aufmerksamkeit schenken wie sie sollten. Denn die Angreifer bräuchten nur eine einzige passende Schwachstelle, um einen sich rasend schnell ausbreitenden Angriff durchzuführen.

Malware, die Bluekeep ausnutzt, nur noch eine Frage der Zeit

Derzeit seien bei Unternehmen aus den Branchen Telekommunikation, Bildung und Technologie noch die meisten Systeme ungepatcht und daher verwundbar für Angriffe über „Bluekeep“. Es könnte schwerwiegende Folgen haben, wenn ein Angreifer unter Ausnutzung von „Bluekeep“ in das Kommunikationsnetz eines Landes eindringen würde.
Unternehmen müssen so viele Schwachstellen wie möglich schließen, um Angreifern keine Gelegenheiten zu bieten. Sie sollten sich nicht zurücklehnen und darauf warten, „bis Malware erkannt wird, denn das ist nur eine Frage der Zeit“. Unternehmen dürften auch nicht das Risiko eingehen, ungewollt bei der Finanzierung eines Terroranschlags mitzuwirken, „indem sie bösartigen Akteuren erlauben, Zugang zu ihren Konten zu erlangen“. Stattdessen müssten Unternehmen Transparenz in ihre Lieferkette und die davon ausgehenden Cyber-Risiken bringen. Sie müssten Schwachstellen bei sich und bei ihren Lieferanten schließen. „Dazu brauchen sie Planung und Vorbereitung. Noch existiert so gut wie keine Malware, die ,Bluekeep‘ ausnutzt, aber das ist nur eine Frage der Zeit. Es ist jetzt Zeit zu handeln, bevor ,Bluekeep‘ zu ,WannaCry 2.0‘ wird“, betont Steinmetz.

Foto: BitSight

Patrick Steinmetz: Zeit zu handeln, bevor „Bluekeep“ zu„WannaCry 2.0“ wird!

Weitere Informationen zum Thema:

NSA
NSA Cybersecurity Advisory: Patch Remote Desktop Services on Legacy Versions of Windows

Microsoft
TechNet / CVE-2019-0708

HomelandSecurityToday.us, 17.06.2019
New ISIS Cybersecurity Bulletin Shows Interest in Microsoft BlueKeep Bug

BITSIGHT, 11.06.2019
New Study: Organizations Struggle to Manage Cyber Risk in Their Supply Chains

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 15.06.2019
Check Point: Top Malware im Mai 2019

datensicherheit.de, 27.06.2018
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen