29. Juli 2019 Update: Mit über 800.000 Windows-Systemen, die immer noch nicht gepatcht und verwundbar sind (Stand: 2. Juli), bleibt die Besorgnis über BlueKeep groß, insbesondere nachdem eine detaillierte Anleitung zum wie man einen Exploit schreibt, letzte Woche online gestellt wurde. Weitere Anzeichen dafür, dass die Sicherheitslücke nicht unbemerkt bleibt, sind die Veröffentlichung eines Exploits und die Entdeckung von Malware, die nach anfälligen Computern sucht. Aktualisieren Sie Ihre betroffenen Systeme und überprüfen Sie jetzt Ihre Wiederherstellungsmöglichkeiten!
Windows-Sicherheitslücke öffnet die Tür für das nächste WannaCry
Es ist etwas mehr als zwei Jahre her, dass WannaCry, die Ransomware, die die EternalBlue-Schwachstelle ausnutzte, um Hunderttausende von Computern auf der ganzen Welt zu infizieren und einen geschätzten Schaden von 8 Milliarden Dollar anzurichten.
Wenn sich die Geschichte wiederholt, werden wir in den nächsten 30 Tagen einen weiteren Angriff erleben.
Am 14. Mai veröffentlichte Microsoft Korrekturen für eine kritische Sicherheitslücke bei der Ausführung von Remotecode(CVE-2019-0708) - ein Fehler, der jetzt als BlueKeep bekannt ist - und forderte die Kunden auf, alle betroffenen Systeme so schnell wie möglich zu aktualisieren.
Letzte Woche hat die Nationale Sicherheitsbehörde der USA (NSA) eine eigene Empfehlung zur Cybersicherheit herausgegeben, in der sie erneut auf die Notwendigkeit von Maßnahmen hinweist.
Die WannaCry-Angriffe begannen 59 Tage, nachdem Microsoft Korrekturen für EternalBlue veröffentlicht hatte. Eine ähnliche Vorlaufzeit für BlueKeep bedeutet, dass die Angriffe irgendwann im Juli beginnen könnten - gerade noch rechtzeitig, um uns die Sommerferien zu verderben. Natürlich könnte die Vorlaufzeit auch kürzer sein... oder länger.
Sind wir vorbereitet?
Es geht nicht nur darum, ob wir die betroffenen Systeme aktualisiert haben: rechtzeitiges Patchen ist extrem wichtig, aber es reicht nicht aus. Zur Vorbereitung gehört auch ein gehärteter Wiederherstellungsprozess für den Fall, dass Angreifer trotz unserer besten Bemühungen oder aufgrund neu entdeckter Schwachstellen eindringen.
Unabhängig davon, ob Sie von BlueKeep betroffen sind oder nicht, ist es ein guter Zeitpunkt, um Ihren Wiederherstellungsprozess zu überprüfen. Einige Dinge, die Sie beachten sollten:
- Können wir auf unsere Backups zugreifen. Angreifer haben es nicht nur auf unsere Produktionsanwendungen und -daten abgesehen, sondern auch auf unsere Backups oder auf Systeme, die Backups hosten. Stellen Sie sicher, dass Sie Backups (oder Sicherungskopien) dort aufbewahren, wo Ransomware und Wiper-Angriffe sie nicht erreichen können.
- Was ist zu tun, wenn Backups infiziert sind. Viele Backups enthalten ausführbare Dateien, Boot-Dateien und andere Betriebssystemdateien, in denen sich Rootkits und andere Malware verstecken können. Die Wiederherstellung von Systemen aus diesen Backups stellt auch Malware wieder her, die zum Zeitpunkt der Erstellung des Backups vorhanden war. Dies spricht für eine Methode zur Wiederherstellung von Systemen, die sich nicht auf die Wiederherstellung des ursprünglichen Betriebssystems verlässt.
- Können wir die Wiederherstellungszeitziele (RTOs) für kritische Anwendungen einhalten . Identifizieren Sie Ihre kritischen Geschäftsprozesse und die Anwendungen, die zu deren Unterstützung erforderlich sind. Erfassen Sie die Infrastruktur, von der diese Anwendungen abhängen, und stellen Sie sicher, dass Sie die Wiederherstellungszeit für diese Infrastruktur mit einbeziehen. Active Directory ist zum Beispiel einer der ersten Dienste, die Sie abdecken sollten, da die meisten Anwendungen davon abhängen.
Es ist auch ein guter Zeitpunkt, um mit der Geschäftsleitung über Cyber-Resilienz zu sprechen: Diese jüngste Sicherheitslücke bietet einen realen Kontext für die Diskussion. Wenden Sie sich proaktiv an die Geschäftsleitung und informieren Sie sie über das Problem, Ihre Gefährdung und was in Ihrem Wiederherstellungsplan fehlt.
Eine schnelle Internetsuche kann Material für die Diskussion liefern. Hier sind ein paar Artikel, die besonders "managementfreundlich" sind: Microsoft Warnung, NSA Cybersecurity Advisory
Zweifelsohne werden wir noch mehr schreiben, wenn die Angriffe, die BlueKeep ausnutzen, beginnen.
Seien Sie vorbereitet!