Tiefe Löcher in alten Systemen: Platz für möglichen WannaCry-Nachfolger
Die Überschrift des Blog-Beitrags im Microsoft-Tech-Net lässt bereits einiges erahnen: „Beugen Sie einem Computer-Wurm vor, indem Sie die Remotedesktopdienste aktualisieren“ (Prevent a worm by updating Remote Desktop Services). Die Sicherheitsmeldung CVE -2019-0708 (Common Vulnerabilities and Exposures) bedeutet nichts anderes, als dass alte Windows-Systeme ein schwerwiegendes Sicherheitsloch haben, bei dem sich genauso wie bei WannaCry schnell und kaum aufhaltbar ein Computer-Wurm ausbreiten könnte. Bei vielen IT-Verantwortlichen klingeln allein beim Namen WannaCry alle Alarmglocken. Schließlich breitete sich dieser Wurm im Mai 2017 rasant aus, verschlüsselte die Daten und verlangte Lösegeld für die Entschlüsselung. Zum Beispiel waren bei der Deutschen Bahn hunderte PCs für die Anzeigetafel verschlüsselt und zeigten anstatt der Abfahrtszeit die Lösegeldforderung an.
Neues Loch in den Windows-Systemen XP, 7, Windows 2003, 2008, 2008 R2
Eigentlich gibt Microsoft, etwa für Windows XP, schon lange keine Sicherheitsupdates mehr heraus. Aber die Sicherheitslücke ist so gravierend, dass man selbst hier eine Ausnahme macht. Über den Remote Desktop Service lässt sich aus der Entfernung zu jedem Windows eine Fernsteuerung aufbauen. Damit das klappt, müssen normalerweise in Windows ein Nutzer und ein Passwort definiert sein. Die gefundene Sicherheitslücke macht es allerdings möglich, dass die Verbindung auch ohne die Zugangsdaten stattfinden kann. Das heißt: jede ungepatchte alte Windows-Version mit Internet-Zugriff würde sich mit einem passenden Exploit übernehmen lassen. Die gute Nachricht dabei: es ist noch kein Exploit aufgetaucht, der diese Lücke angreift – jetzt noch nicht!
Abschalten oder patchen?
Wie kritisch sehen Spezialisten die aktuelle Sicherheitslücke? Artturi Lehtiö, Leiter Service & Technologieentwicklung für Cyber Security Consulting bei F-Secure:
Die Sicherheitsanfälligkeit ist sehr ernst, da sie, wie von Spezialisten genannt, “wurmbar” ist. Dies bedeutet, dass ein Angreifer die Lücke über das Netzwerk ausnutzen kann, ohne dass das Opfer etwas unternehmen muss. Die meisten Sicherheitslücken erfordern heutzutage, dass der Angreifer das Opfer dazu verleitet, etwas zu tun, wie etwa eine Datei auszuführen oder Zugangsdaten zu verraten. Die Sicherheitsanfälligkeit ist sehr kritisch zu sehen, da sie in einer Standardfunktion von Windows vorhanden ist.
Microsoft stellt bereits kostenlos Patches für alle Systeme bereit – selbst für Systeme wie Windows XP, die eigentlich nicht mehr supportet werden. Im Netz tauchen Empfehlungen auf, den Remote Desktop Service komplett zu deaktivieren. Bis zum jetzigen Zeitpunkt ist aber nicht klar, ob das einen passenden Exploit wirklich aufhalten kann. Das Update allerdings kann verlässliche Sicherheit schaffen.
Die Unbelehrbaren sind immer noch da
Es gibt zwar keine verlässlichen Zahlen, wie viele ungepatchte Windows-Systeme im Netz erreichbar sind, aber es wird sie mit Sicherheit noch geben. Schließlich zeigte die WannaCry-Attacke in 2017, dass die Gruppe der Unbelehrbaren richtig groß war. Technisch gesehen gibt es viele Möglichkeiten, die vorhandenen PCs und Server in Sachen Sicherheit im Blick zu haben. Eine davon ist etwa F-Secure Radar, welches Schwachstellen sucht, Maschinen mit Risiken identifiziert und sie auf Wunsch sogar automatisiert isoliert. In Kombination mit dem Software Updater, dem umfangreichen Service für ein Patchmanagement, sind auch Updates für Windows-Systeme oder Software von anderen Anbietern kein Problem mehr.
Sofern möglich, sollten besonders Unternehmen auf neuere Betriebssystem-Versionen migrieren. Das empfiehlt auch der F-Secure Sicherheitsexperte Artturi Lehtiö. Denn in den neuen Systemen werden viel aktuellere Technologien verwendet als etwa in einem fast 20 Jahre alten Windows XP. Heute gelten viele, der in betagten Systemen verwendeten Protokolle, als längst überholt. So war zum Beispiel das hoffnungslos veraltete SMBv1-Protokoll das Einfallstor für WannaCry. Selbst Microsoft empfahl schon 2012 das Protokoll zu deaktivieren. 2017 hat dann WannaCry weltweit hunderttausende Rechner infiziert – alles ungepatchte Systeme.
Kategorien