zurück zur Übersicht

WannaCry, zweiter Anlauf

Gerade wurde in der NVD die CVE-2019-0708 (https://nvd.nist.gov/vuln/detail/CVE-2019-0708) bekannt gegeben. Hierbei handelt es sich um eine Remote Code Execution ohne Authentifizierung für das RDP Protokoll und hat auch direkt einen Base Score von 9.8 CIRITICAL erhalten. Von Microsoft wurden für die Schwachstelle direkt Patches veröffentlicht und das, ungewöhnlicher Weiße, bis zurück zu Windows XP. Das hat einen ganz einfachen Grund, die Schwachstelle wird als „wormable“ (https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/) betrachtet und zeigt damit ganz ähnliche Merkmale wie die CVE-2017-0144 (https://nvd.nist.gov/vuln/detail/CVE-2017-0144) die damals von WannaCry ausgenutzt wurde, wobei hier nur ein Base Score von 8.1 HIGH vergeben wurde.

Lehren aus dem WannaCry-Debakel

Damals war die Schwachstelle auch gemeinhin bekannt und Patches wurden von Microsoft innerhalb kürzester Zeit bereitgestellt. Dabei war das SMB Protokoll betroffen. Trotz der schnellen Reaktion von Microsoft wurden die Patches auf zahlreichen Systemen nicht ausgerollt oder das Protokoll deaktiviert. Das führte zu einem geschätzten Schaden von rund $8 Milliarden im Jahr 2017 (https://www.reuters.com/article/us-cyber-lloyds-report/global-cyber-attack-could-spur-53-billion-in-losses-lloyds-of-london-idUSKBN1A20AB).

Neue Schwachstelle wird als noch gefährlicher eingeschätzt

Dieses Mal stehen die Zeichen wieder auf Sturm. Die organisierte Cyberkriminalität nimmt immer stärkere Züge an, es fallen zunehmend Attacken und Methoden aus Staatshand in die Hände von Kriminellen, die daraus ein äußerst lukratives Geschäft ableiten. Diese Strukturen werden auch bei dieser Schwachstelle nicht lange zögern, um passende Schadprogramme zu entwickeln und zu verbreiten. Der Focus wird dabei wieder auf Krypto-Mining und Erpressungstrojanern liegen. Die Dimensionen könnten dabei wieder die von WannaCry erreichen oder sogar übersteigen.

Ältere Syteme müssen manuell gepatcht werden

Es bleibt wie immer schwierig. Für unterstütze Systeme wie Windows 7 oder Server 2012 sind die Patches im normalen Patch Zyklus inbegriffen, für ältere Systeme wie Windows XP muss wieder manuell Hand angelegt werden. Das RDP Protokoll ist außerdem sehr weit verbreitet und wird recht häufig für Fernwartung verwendet. Diese Kombination sorgt besonders bei produzierenden Unternehmen zu Spannungen. Hier sind Altsysteme wie Windows XP oder Windows 7 eher die Regel als die Ausnahme und auch die Nutzung von RDP lässt sich nicht oder nur mit großem Aufwand verhindern. Zusätzlich bedeutet das Einspielen von Patches Stillstandzeiten, die große Kosten verursachen oder es ist aufgrund der Art des Fertigungsprozesses gar nicht möglich. Hier müssen innovative Ansätze wie Next Generation End Point Protection zum Einsatz kommen, da diese zur Abwehr von unbekannter Schadsoftware in der Lage sind, wo herkömmlicher Antivirus Software keinen Schutz mehr bietet (es gibt inzwischen weit bessere Lösungen). Im speziellen Fall von RDP, könnte auch ein durchdachtes Segmentierungs- und Fernwartungskonzept eine gute Schutzwirkung entfalten.

Was wir jetzt empfehlen:

Unsere strenge Empfehlung ist also, Patchen Sie wenn Sie können oder schalten wenn möglich das RDP Protokoll ab. Falls das nicht möglich ist, schützen Sie ihre Systeme mit innovativen Ansätzen, wie Next Generation End Point Protection, einer gesamtheitlichen Segmentierungs- und Fernwartungslösung oder moderner Überwachung, um kurze Reaktionszeiten zu gewährleisten.


Bild: ©GettyImages/AleksandarGeorgiev

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer