Ausgerechnet eine Warnung wird aktuell zur Gefahr: Eine Sicherheitsforscherin hat entdeckt, dass eine seit März bekannte Sicherheitslücke in Windows 10 mehr als eine theoretische Bedrohung darstellt, sondern sich aktiv angreifen lässt. Um ihre Entdeckung zu untermauern, hatte sie ein einfaches Schadprogramm entworfen. Und genau das nutzen nun Kriminelle vor Attacken.
Davor warnt die zum US-Innenministerium gehörende "Cybersecurity and Infrastructure Security Agency" (CISA). Von wem die Angriffe ausgehen oder wer das Ziel ist, verrät die Behörde aber nicht. "Böswillige Cyber-Akteure nutzen den Proof-of-Concept (das Programm, das die Angreifbarkeit belegt - Anmerkung der Redaktion) um ungepatchte Systeme zu attackieren", erklärt die Sicherheitsbehörde in einem Post.
Selbes Angriffsziel wie Wannacry
Das ist deshalb besonders dramatisch, weil die Lücke auch für den Einsatz eines Computer-Wurms geeignet ist, also die selbstständige Verbreitung von Schadprogrammen von Rechner zu Rechner in einem Netzwerk erlaubt. Der als "SMB Ghost" oder "CoronaBlue" bezeichnete Fehler liegt in Microsofts Server Message Block (SMB) Protokoll, demselben Protokoll, dass auch den folgenreichen Wurmangriff "Wannacry" im Jahr 2017 ermöglichte. Der vermutlich von Nordkorea ausgehende Wurm hatte damals in kürzester Zeit weltweit unzählige Rechner befallen und Milliardenschäden verursacht.
+++ Lesen Sie auch: Wie ein Experte die Wannacry-Attacke für nur 9,77 Euro beendete +++
Die im März erstmals entdeckte Lücke galt zwar schon bisher wegen des Potenzials für einen Wurm als gefährlich, bis letzte Woche war es aber nicht gelungen, darüber aus der Ferne Schadcode auszuführen. Die Entdeckung der Sicherheitsexpertin, die sich nur "chompie" nennt, änderte das. Ihr war es gelungen, die sonst sehr hohen Sicherheitsmaßnahmen von Windows 10 so auszutricksen, dass sie dem Betriebssystem über die Lücke Fremdcode unterjubeln konnte - und es so unter ihre Kontrolle brachte, berichtet das Sicherheits-Blog "Thread Post".
Schnelle Updates nötig
Ein solches Chaos wie bei Wannacry ist aber wohl nicht zu erwarten. Zum einen betrifft die Lücke nur Windows 10 und Windows Server 2019 und keine älteren Systeme, zum anderen stehen für beide Systeme bereits seit März offizielle Sicherheitsupdates von Microsoft bereit. Die meisten Privatanwendern dürften also Dank automatischer Updates längst geschützt sein. Ausgerechnet die für Hacker attraktiven Firmennetzwerke brauchen allerdings oft länger, um neue Updates einzuspielen. Das liegt daran, dass die Administratoren die Funktionsweise des Systems garantieren müssen und ein stabiles System nicht mit potenziell problematischen Updates belasten wollen, bevor diese ausführlich getestet wurden.
Die Empfehlung des CISA zu den nun genutzten Sicherheitslücken ist klar: Sämtliche von der Lücke betroffene Systeme sollten so schnell wie möglich auf den neuesten Stand gebracht werden. Als Notlösung sei es auch möglich, eine nicht genutzte Kompression im SMB Protokoll abzuschalten sowie den Port 445 zu blocken, empfiehlt Microsoft.
Quelle: CISA, Thread Post, Twitter, Microsoft
