Eine Windows-Sicherheitslücke ist seit etwa einer Woche bekannt und in einer aktuellen Version behoben. Die Auswirkung dieser Sicherheitslücke ist nach den neusten Forschungen jedoch kritischer als zunächst befürchtet.
Windows-Sicherheitslücke CVE-2021-31166
Insgesamt wurden 55 Sicherheitslücken am Patchday Mai (11.05.2021) geschlossen. Von diesen 55 Sicherheitslücken wurden 4 als „kritisch“ eingestuft. Vor allem die Schwachstelle CVE-2021-31166 im HTTP Protocol Stack (http-sys) gilt als besonders gefährlich.
Microsoft selbst erklärt in einer Warnmeldung, dass ein Angreifer ohne Authentifizierung in der Lage ist, Schadcode aus der Ferne ausführen zu können. Darüber hinaus können diese Befehle mit Kernel-Rechten ausgeführt werden, was unter anderem das Verbreiten der Malware möglich macht. So kann eine Malware von System zu System „springen“, bis das gesamte Netzwerk infiziert ist.
Um seine eigenen Systeme wie Windows 10 2004, 20H2 und Windows Server 20H2 zu schützen, muss das neuste Update eingespielt werden. Die hier genannten Systeme sind die Systeme, die von der Sicherheitslücke betroffen sind, dachte man bis gestern!
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Mehr Systeme betroffen als zunächst gedacht
Die Angriffsfläche der Windows-Sicherheitslücke ist größer als zunächst gedacht. Ein Sicherheitsforscher hat herausgefunden, dass auch Windows-Systeme angreifbar sind, auf denen der Windows-Remote-Managment-Service (WinRM) eingesetzt wird. Dieser Service verwendet den HTTP Protocol Stack und ist daher ebenfalls von der Windows-Sicherheitslücke angreifbar.
Standardmäßig ist der Remote-Managment-Service nur in Enterprise Systemen aktiviert, dementsprechend sind vor allem Unternehmen davon betroffen. In der Home-Version, die vor allem im privaten Gebrauch zu finden ist, ist der Remote-Management-Service nicht standardmäßig aktiviert, lässt sich jedoch optional einschalten. Alle Systeme, die diese Komponente verwenden, müssen unverzüglich auf die neuste Version gebracht werden, damit die Windows-Sicherheitslücke geschlossen wird.
I finally found time to answer my own question. WinRM *IS* vulnerable. This really expands the number of vulnerable systems, although no one would intentionally put that service on the internet.
— Jim DeVries (@JimDinMN) May 19, 2021
In der hier verlinkten Twitter-Diskussion tauschen sich verschiedene Sicherheitsforscher darüber aus, dass unter anderem ca. 2 Millionen verwundbare Geräte mit der Suchmaschine Shodan gefunden werden können. Davon sind etwa 62.000 Systeme in Deutschland platziert, die den angreifbaren WinRM-Service einsetzen.
Dadurch das mittlerweile Exploit-Code im Umlauf ist, den jeder Kriminelle einfach kopieren und anschließend verwenden kann, ist das Patchen umso wichtiger geworden. Der einfachste Weg ist es, in den Systemeinstellungen des jeweiligen Geräts nach Updates zu suchen und dort die aktuellste Version auszuwählen!
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
