Eine Sicherheitslücke wie Wanna Cry

Eine Sicherheitslücke in Windows ermöglicht das Ausführen von Schadcode aus der Ferne. Eine Schadsoftware könnte sich wie Wanna Cry selbstständig weiterverbreiten. Microsoft stellt sogar für Windows XP Patches bereit.
Microsoft warnt vor einer besonders kritischen Sicherheitslücke (CVE-2019-0708) in den Remote Desktop Services vieler Windows-Systeme. Über die Lücke lässt sich aus der Ferne Schadcode auf betroffenen Windows-Systemen ausführen, ohne dass eine Authentifizierung am System oder eine Nutzerinteraktion notwendig ist. Ein Computerwurm könnte sich über die Sicherheitslücke selbstständig von verwundbarem Computer zu verwundbarem Computer weiterverbreiten. Microsoft befürchtet ein Szenario wie bei Wanna Cry.
Betroffen sind neben Windows 7, Windows Server 2008 R2 und Windows Server 2008 auch die nicht mehr unterstützten Betriebssysteme Windows XP und 2003. Windows 8 und 10 sind von der Sicherheitslücke nicht betroffen. Selbst die eigentlich nicht mehr unterstützten Systeme erhalten aufgrund der Schwere der Sicherheitslücke Updates. Diese sollten umgehend eingespielt werden. Für die noch unterstützten Systeme ist der Patch in den Mai-Sicherheitsupdates enthalten, diese schließen auch 78 weitere Sicherheitslücken.

Angreifer können die Sicherheitslücke über präparierte RDP-Pakete (Remote Desktop Protocol), die an ein verwundbares System gesendet werden, ausnutzen. Das Protokoll selbst sei jedoch nicht von der Sicherheitslücke betroffen, schreibt Microsoft. Werden die Remote Desktop Services nicht benötigt, rät Microsoft dazu, diese zu deaktivieren.
Ein weiteres Wanna Cry?

Microsoft warnt vor einem Szenario wie bei Wanna Cry. Der Wurm legte im Jahr 2017 Millionen Windows-Rechner lahm und führte bei etlichen Firmen zu Systemausfällen. Neben den Anzeigetafeln der Bahn verweigerten auch viele Geld-, Fahrkarten- und Tankstellenautomaten den Dienst. Auch Rechner des Mobilfunkbetreibers Telefónica waren betroffen, und der Autohersteller Renault hat seine Produktion in einigen Werken vorsichtshalber gestoppt. Die Schadsoftware Wanna Cry basierte auf einer vom US-Geheimdienst National Security Agency (NSA) gehorteten Sicherheitslücke in Samba, welche von der Hackergruppe The Shadow Brokers geleakt wurde. (Quelle: golem)

CVE-2019-0708 / Technet - Microsoft

Schon wieder? Ist das echt ein neuer Bug? Edit: ist vom 14. Mai 2019, ist also leider wirklich neu!

Das Szenario ist nicht nur NEU sondern auch weit aus gefährlicher als Spectre oder Meltdown !!! Vor allem greift es die aktuellen Architekturen von Otto-Normaluser ABER auch Rechenzentren an!!

01500×843 1.74 MB

Updates gegen die Intel-Prozessorlücken ZombieLoad & Co.

Für alle aktuellen Windows-Versionen, viele Linux-Distributionen und Hypervisoren wie VMware ESXi kommen Patches gegen ZombieLoad & Co.

Zum Microsoft-Patchday im Mai 2019, also am 14. Mai, hat Intel Informationen zu vier neuen Sicherheitslücken in vielen Core-i- und Xeon-Prozessoren veröffentlicht: Microarchitectural Data Sampling (MDS) alias ZombieLoad.

Für aktuelle Windows-Versionen, viele Linux-Distributionen und Hypervisoren wie VMware gibt es bereits Sicherheitsupdates. Auch der Linux-Kernel geht gegen die MDS-Lücken vor. AMD betont, dass die eigenen Prozessoren nicht von MDS betroffen sind.

Intel hat Microcode-Updates für betroffene Prozessoren vorbereitet, die auf den üblichen Wegen verteilt werden: Entweder über Updates für Betriebssysteme oder über BIOS-Updates: Ein Überblick.!!!

• ZombieLoad bei heise online: Neue Sicherheitslücken in Intel-Prozessoren

Intel

• Intel Security Advisory Intel-SA-00233
• GitHub: Intel-Linux-Processor-Microcode-Data-Files
• List of MDS-affected processors by Family/Model
• Deep Dive: Intel Analysis of Microarchitectural Data Sampling

Microsoft

• Sicherheitsempfehlung ADV190013: Anweisungen von Microsoft zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten

• Windows 10 1809, Windows Server 2019 all versions: KB4494441

• Windows 10: KB4494454: Intel Microcode Updates

• Windows 10 1803: KB4499167

• Windows 10 1709: KB4494452: Intel Microcode-updates

• Windows 8.1, Windows Server 2012 R2: KB4499151 (Rollup)

• Windows 8.1, Windows Server 2012 R2: KB4499165

• Windows Server 2012, Windows Embedded 8 Standard: KB4499158

• Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1: KB4499175

MITRE

• CVE-2018-12126
• CVE-2018-12127
• CVE-2018-12130
• CVE-2019-11091

Amazon

• Amazon Linux AMI Security Advisory: ALAS-2019-1205

Apple

• ZombieLoad & Co.: Apple ergreift Gegenmaßnahmen

Canonical

• Ubuntu updates to mitigate new Microarchitectural Data Sampling (MDS) vulnerabilities

Debian

Debian Security Advisories

• DSA-4444-1

• DSA-4447-1

• CVE-2018-12126

• CVE-2018-12127

• CVE-2018-12130

• CVE-2019-11091

FreeBSD

Security Advisory FreeBSD-SA-19:07.mds

Google

• Chromium Security: Microarchitectural Data Sampling (auch Chrome OS)
• Kubernetes Engine Security Bulletin

IBM

• IBM Addresses Reported Intel Security Vulnerabilities

Red Hat

• MDS - Microarchitectural Data Sampling

SUSE

• SUSE addresses Microarchitectural Data Sampling Vulnerabilities

VMware

• VMware Security Advisory VMSA-2019-0008
  (VMware ESXi 6.0, 6.5, 6.7, Workstation 15.x, Fusion 11.x)

Xen

• Xen Security Advisory XSA-297

Informationen zu den MDS-Sicherheitslücken

Bitdefender

• Yet Another Meltdown – A Microarchitectural Fill Buffer Data Sampling Vulnerability (CVE-2018-12130)

Cyberus Technology

• ZombieLoad: Cross Privilege-Boundary Data Leakage

TU Graz

• Zombieloadattack.com
• cpu.fail

Vrije Universiteit Amsterdam

• RIDL and Fallout: MDS attacks

Red Hat

• MDS vulnerabilities explained in ~three minutes

1 Million verwundbare Rechner: Microsoft warnt vor dem Super-Wurm

Die nächste schwerwiegende Virenpandemie steht anscheinend kurz bevor: Fast eine Million Systeme sind über das Internet durch die kritische Lücke in den Remote Desktop Services (RDP) von Windows angreifbar. Das hat eine Analyse des Security-Experten Robert Graham ergeben. Microsoft nimmt dies zum Anlass, erneut zur Installation der Sicherheits-Updates zu mahnen.

Graham überprüfte mit seinem Portscanner masscan sämtliche IPv4-Adressen und stieß dabei auf rund 950.000 Systeme, auf denen eine ungepatchte Version des RDP-Servers von Windows läuft. In den Systemen klafft die kritische Sicherheitslücke CVE-2019-0708, die Microsoft an seinem Mai-Patchday geschlossen hat. Da der Security-Experte ausschließlich Rechner untersuchen konnte, die direkt über das Internet erreichbar sind, dürfte die Gesamtzahl der verwundbaren Systeme erheblich größer sein.
Es droht ein neues WannaCry

Die Schwachstelle ist sehr gefährlich, da ein Angreifer sie ausnutzen kann, um Code aus der Ferne einzuschleusen. Sie ist ein ideales Schlupfloch für Würmer, die sich selbstständig von einem verwundbaren System auf das nächste verbreiten. Auf diese Weise erwischt ein Wurm auch Rechner, die nicht direkt über das Internet erreichbar sind. Es genügt ein infizierter PC im Netz, um ein gesamtes Firmennetz lahm zu legen.

Dass dies keine theoretische Gefahr ist, zeigt ein Rückblick in das Jahr 2017, in dem der WannaCry-Wurm bereits nach drei Tagen hunderttausende Rechner befallen hatte. Insgesamt fand er mehrere Millionen Opfer. Darunter befinden sich viele Unternehmen, denen durch Produktionsausfälle ein erheblicher finanzieller Schaden entstanden ist, der kaum zu beziffern ist.
Microsoft mahnt zum Sicherheits-Update

Microsoft nimmt die alarmierenden Ergebnisse des Sicherheitsforschers zum Anlass, erneut zur Installation der Sicherheits-Updates zu mahnen. Das Unternehmen hatte aufgrund der drohenden Wurmpandemie sogar die alten Windows-Versionen XP und Vista gepatcht, die bereits aus dem Extended Support gefallen sind und keine Updates mehr erhalten.

Auch Microsoft zieht einen Vergleich zu dem verheerenden WannaCry-Ausbruch vor fast genau zwei Jahren und macht darauf aufmerksam, dass die Sicherheits-Patches gegen die damals ausgenutzte EternalBlue-Schwachstelle bereits 60 Tage zur Verfügung standen, bevor der Wurm ausbrach. Dennoch waren unzählige Systeme nicht auf dem aktuellen Stand und wurden von der Pandemie eiskalt erwischt. Der Windows-Hersteller ist sich sicher, dass bereits ein Exploit existiert, der die RDP-Lücke ausnutzt. Einen Wurm hat das Unternehmen bislang noch nicht gesichtet – doch man solle nicht darauf wetten, dass das auch so bleibt. Sicherheitsforscher berichteten bereits Anfang vergangener Woche über funktionsfähige Exploits.
Jetzt handeln!

Wer seine Systeme noch nicht auf den aktuellen Stand gebracht hat, sollte spätestens jetzt handeln. Installieren Sie die über Windows Update angebotenen Sicherheits-Updates auf sämtlichen Systemen – und machen Sie auch Jagd auf etwaige vergessene Windows-Zombies, die noch irgendwo im Netz hängen. Von CVE-2019-0708 betroffen sind alle Windows-Client- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008 – mit Ausnahme von Windows 8 und 10. Patches gibt es sogar für XP und Vista, die eigentlich bereits vom offiziellen Update-Zweig abgeschnitten sind. (Quelle Heise)

an alle Server Admins, ich hoffe ihr habt nicht nur die BIOS Updates gemacht, Windows Patches installiert , Hypervisor Patches eingespielt sondern auch die Windows Server Registry Keys zum aktivieren gesetzt:

So aktivieren Sie Risikominderungen für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre [CVE-2017-5753 & CVE-2017-5715] und Meltdown [CVE-2017-5754], einschließlich Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] sowie L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646], ohne Hyperthreading zu deaktivieren:

reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add „HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management“ /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Quelle: https://support.microsoft.com/de-de/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities-prot

exploit wurde bereits in metasploit integriert
auf youtube liegen mehrer videoanleitungen um die sicherheitslücke auszunutzen.
mit metasploit ein kinderspiel,scanner ist auch dabei.