Bereits im Mai 2019 warnten sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch Microsoft vor der Bluekeep-Sicherheitslücke. Die einst entdeckten Angriffspunkte könnten Hacker nutzen, um erheblichen Schaden auf einem System anzurichten. Experten sind sich in diesem Zusammenhang darüber einig, dass das Schadensausmaß weitaus größer als bei der einstigen WannaCry-Attacke ist. Mittlerweile registrieren Sicherheitskreise, dass erste Angriffe mit WannaCry beginnen und nach wie vor zahlreiche Rechner ungeschützt sind.
Bluekeep bedrohlicher als WannaCry
Im Jahr 2017 sorgte eine globale WannaCry-Attacke für den Ausfall tausender Computer und sorgte für eine entsprechend hohe Aufmerksamkeit. Das BSI sowie Microsoft warnten deshalb schon im Mai dieses Jahres vor einer vergleichbaren Sicherheitslücke, welche vor allem in älteren Windows-Versionen vorkommt und zu weitaus größeres Schäden führen könnte. Im darauffolgenden Monat warnte das BSI erneut und zugleich eindringlicher vor einer erhöhten Bedrohungslage durch Bluekeep.
In der damals veröffentlichten Warnung hieß es unter anderem, dass es sich um eine außergewöhnliche Schwachstelle mit einem „enormen Schadenspotential handele. Weiter teilte das BSI mit, dass Organisationen sowie Unternehmen „noch“ die Gelegenheit hätten, sich vor einem Cyber-Angriff dieser Art zu schützen und ein „Krisenszenario“ zu umgehen. Das BSI hat sich zudem auf die gemachten Erfahrungen mit NotPetya sowie WannaCry berufen und Windows-Anwender dazu aufgefordert, die entsprechenden „IT-Sicherheitsmaßnahmen“ umzusetzen.
Erste Bluekeep-Angriffswelle hat begonnen
Sicherheitsforscher haben nun erstmals eine großangelegte Hacking-Kampagne aufgedeckt, welche das Einschleusen eines Crypto-Miners auf ungeschützten Windows-Systemen vorsieht. Wie die Sicherheitsexperten berichten, finden die Angriffe seit rund zwei Wochen in einem „großen Umfang“ auf der ganzen Welt statt. Microsoft befürchtete in den vergangenen Monaten eine große Angriffswelle durch den Einsatz eines Wurms. Noch können die Sicherheitsforscher diese Angriffsmethodik nicht bestätigen, was keinesfalls Anlass für eine Entwarnung ist.
Bislang haben es die verantwortlichen Hacker allem Anschein nach ausschließlich auf offene RDP-Ports abgesehen, um die Bluekeep-Sicherheitslücke auszunutzen. Im Rahmen ihrer Beobachtungen konnten die Experten feststellen, dass die Angriffe oftmals nicht erfolgreich waren, da die anvisierten Systeme abgestürzt und somit nicht infiziert worden sind. Diese Erkenntnis lässt nun den Schluss zu, dass es schwer ist, für den Bluekeep-Exploit einen Schadcode zu entwickeln, welcher Schaden anrichtet und keinen Bluescreen auslöst.
Aktuelle Scans zeigen, dass circa 750.000 Windows-Systeme weltweit einen offenen RDP-Endpoint und älteren Windows-Versionen besitzen und über das Internet erreichbar sind. Hier rät Microsoft dringend zur Installation des seit Mai verfügbaren Sicherheitsupdates mit der Kennung CVE-2019-0708.