VG-Wort Pixel

"CoronaBlue" Selbes Vorgehen wie Wannacry: US-Behörde warnt vor Angriffen auf fiese Windows-Lücke

APT28 Fancy Bear Sofacy Hacker
Wer hinter den Angriffen steckt, verrät die Behörde nicht (Symbolbild)
© FangXiaNuo / Getty Images
Seit März ist eine Lücke in Windows bekannt, die es erlaubt, auch gleich andere Rechner eines Netzwerkes zu kapern. Und Hacker tun das auch, warnt das US-Innenministerium. Dabei wird ausgerechnet ein Programm missbraucht, das auf den Fehler hinweisen sollte.

Ausgerechnet eine Warnung wird aktuell zur Gefahr: Eine Sicherheitsforscherin hat entdeckt, dass eine seit März bekannte Sicherheitslücke in Windows 10 mehr als eine theoretische Bedrohung darstellt, sondern sich aktiv angreifen lässt. Um ihre Entdeckung zu untermauern, hatte sie ein einfaches Schadprogramm entworfen. Und genau das nutzen nun Kriminelle vor Attacken.

Davor warnt die zum US-Innenministerium gehörende "Cybersecurity and Infrastructure Security Agency" (CISA). Von wem die Angriffe ausgehen oder wer das Ziel ist, verrät die Behörde aber nicht. "Böswillige Cyber-Akteure nutzen den Proof-of-Concept (das Programm, das die Angreifbarkeit belegt - Anmerkung der Redaktion) um ungepatchte Systeme zu attackieren", erklärt die Sicherheitsbehörde in einem Post.

Selbes Angriffsziel wie Wannacry

Das ist deshalb besonders dramatisch, weil die Lücke auch für den Einsatz eines Computer-Wurms geeignet ist, also die selbstständige Verbreitung von Schadprogrammen von Rechner zu Rechner in einem Netzwerk erlaubt. Der als "SMB Ghost" oder "CoronaBlue" bezeichnete Fehler liegt in Microsofts Server Message Block (SMB) Protokoll, demselben Protokoll, dass auch den folgenreichen Wurmangriff "Wannacry" im Jahr 2017 ermöglichte. Der vermutlich von Nordkorea ausgehende Wurm hatte damals in kürzester Zeit weltweit unzählige Rechner befallen und Milliardenschäden verursacht.

+++ Lesen Sie auch: Wie ein Experte die Wannacry-Attacke für nur 9,77 Euro beendete +++

Die im März erstmals entdeckte Lücke galt zwar schon bisher wegen des Potenzials für einen Wurm als gefährlich, bis letzte Woche war es aber nicht gelungen, darüber aus der Ferne Schadcode auszuführen. Die Entdeckung der Sicherheitsexpertin, die sich nur "chompie" nennt, änderte das. Ihr war es gelungen, die sonst sehr hohen Sicherheitsmaßnahmen von Windows 10 so auszutricksen, dass sie dem Betriebssystem über die Lücke Fremdcode unterjubeln konnte - und es so unter ihre Kontrolle brachte, berichtet das Sicherheits-Blog "Thread Post".

Wannacry - Deutsche Bahn betroffen

Schnelle Updates nötig

Ein solches Chaos wie bei Wannacry ist aber wohl nicht zu erwarten. Zum einen betrifft die Lücke nur Windows 10 und Windows Server 2019 und keine älteren Systeme, zum anderen stehen für beide Systeme bereits seit März offizielle Sicherheitsupdates von Microsoft bereit. Die meisten Privatanwendern dürften also Dank automatischer Updates längst geschützt sein. Ausgerechnet die für Hacker attraktiven Firmennetzwerke brauchen allerdings oft länger, um neue Updates einzuspielen. Das liegt daran, dass die Administratoren die Funktionsweise des Systems garantieren müssen und ein stabiles System nicht mit potenziell problematischen Updates belasten wollen, bevor diese ausführlich getestet wurden.

Die Empfehlung des CISA zu den nun genutzten Sicherheitslücken ist klar: Sämtliche von der Lücke betroffene Systeme sollten so schnell wie möglich auf den neuesten Stand gebracht werden. Als Notlösung sei es auch möglich, eine nicht genutzte Kompression im SMB Protokoll abzuschalten sowie den Port 445 zu blocken, empfiehlt Microsoft.

Quelle: CISA, Thread Post, Twitter, Microsoft

mma

Mehr zum Thema


Wissenscommunity


Newsticker