Awareness

Windows-Sicherheitslücke gefährlicher als zunächst gedacht!

Aktualisiert am

Eine Windows-Sicherheitslücke ist seit etwa einer Woche bekannt und in einer aktuellen Version behoben. Die Auswirkung dieser Sicherheitslücke ist nach den neusten Forschungen jedoch kritischer als zunächst befürchtet.

Windows-Sicherheitslücke CVE-2021-31166

Insgesamt wurden 55 Sicherheitslücken am Patchday Mai (11.05.2021) geschlossen. Von diesen 55 Sicherheitslücken wurden 4 als “kritisch” eingestuft. Vor allem die Schwachstelle CVE-2021-31166 im HTTP Protocol Stack (http-sys) gilt als besonders gefährlich.

Microsoft selbst erklärt in einer Warnmeldung, dass ein Angreifer ohne Authentifizierung in der Lage ist, Schadcode aus der Ferne ausführen zu können. Darüber hinaus können diese Befehle mit Kernel-Rechten ausgeführt werden, was unter anderem das Verbreiten der Malware möglich macht. So kann eine Malware von System zu System “springen”, bis das gesamte Netzwerk infiziert ist.

Um seine eigenen Systeme wie Windows 10 2004, 20H2 und Windows Server 20H2 zu schützen, muss das neuste Update eingespielt werden. Die hier genannten Systeme sind die Systeme, die von der Sicherheitslücke betroffen sind, dachte man bis gestern!

Mehr Systeme betroffen als zunächst gedacht

Die Angriffsfläche der Windows-Sicherheitslücke ist größer als zunächst gedacht. Ein Sicherheitsforscher hat herausgefunden, dass auch Windows-Systeme angreifbar sind, auf denen der Windows-Remote-Managment-Service (WinRM) eingesetzt wird. Dieser Service verwendet den HTTP Protocol Stack und ist daher ebenfalls von der Windows-Sicherheitslücke angreifbar.

Standardmäßig ist der Remote-Managment-Service nur in Enterprise Systemen aktiviert, dementsprechend sind vor allem Unternehmen davon betroffen. In der Home-Version, die vor allem im privaten Gebrauch zu finden ist, ist der Remote-Management-Service nicht standardmäßig aktiviert, lässt sich jedoch optional einschalten. Alle Systeme, die diese Komponente verwenden, müssen unverzüglich auf die neuste Version gebracht werden, damit die Windows-Sicherheitslücke geschlossen wird.

Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

In der hier verlinkten Twitter-Diskussion tauschen sich verschiedene Sicherheitsforscher darüber aus, dass unter anderem ca. 2 Millionen verwundbare Geräte mit der Suchmaschine Shodan gefunden werden können. Davon sind etwa 62.000 Systeme in Deutschland platziert, die den angreifbaren WinRM-Service einsetzen.

Dadurch das mittlerweile Exploit-Code im Umlauf ist, den jeder Kriminelle einfach kopieren und anschließend verwenden kann, ist das Patchen umso wichtiger geworden. Der einfachste Weg ist es, in den Systemeinstellungen des jeweiligen Geräts nach Updates zu suchen und dort die aktuellste Version auszuwählen!

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.