Knapp 800.000 Systeme weiterhin für BlueKeep Sicherheitslücke anfällig

Knapp 800.000 Systeme weiterhin für BlueKeep Sicherheitslücke anfällig

Vor ungefähr fünf Wochen wurde die BlueKeep Sicherheitslücke bekannt. Trotz des enormen Gefahrenpotenzials und obwohl Microsoft zeitnah einen Patch bereitgestellt hat, sind viele Systeme weiterhin ungepatcht und bleiben damit anfällig für Cyberangriffe. Das ist riskant, denn die Sicherheitslücke BlueKeep im Remote Desktop Protocol (RDP) weist ein ähnlich hohes Gefahrenpotenzial wie EternalBlue auf. EternalBlue war die Sicherheitslücke, die die verheerende Ransomware-Attacke WannaCry im Jahr 2017 ausnutzte.

Die Bedrohung durch BlueKeep wird immer mehr zu einem realen Risiko, denn mittlerweile existieren erste Exploits, die die Sicherheitslücke ausnutzen können. Das Department of Homeland Security (DHS) hat einen funktionierenden Exploit entwickelt und auch Personen aus dem Privatsektor berichten, dass sie über einen Remote Code Exploit verfügen. Neben Microsoft raten daher auch Organisationen wie der BSI und die NSA dringend zu Gegenmaßnahmen.

Unser Technologiepartner BitSight, Anbieter von IT-Sicherheitsratings, hat Ende Mai bereits eine erste Dateneinsicht veröffentlicht. BitSight hat nun erneut untersucht, inwiefern der Patch für BlueKeep in der Zwischenzeit in verschiedenen Branchen und Ländern ausgerollt wurde. Im Vergleich zum Stand vom 31. Mai ist die Zahl der für BlueKeep anfälligen Systeme bis zum 2. Juli um 17,18 Prozent gesunken. Das entspricht 167.164 gepatchten Systemen. Weltweit waren am 2. Juli noch 805.665 Systeme online, die für die Sicherheitslücke anfällig sind.

Picture1-4Abb. 01: System Vulnerable to BlueKeep [Quelle: BitSight]

Anfälligkeit für Bluekeep nach Branchen Ende Mai und Anfang Juli

Die in der Grafik unten aufgeführten Branchen waren bereits bei der Datenanalyse durch BitSight Ende Mai unterschiedlich anfällig für BlueKeep (blau). Mittlerweile haben Organisationen aus allen Branchen mit Patches auf die Sicherheitslücke reagiert. Besonders häufig haben Unternehmen aus der Rechtsbranche (32,0 Prozent weniger betroffene Systeme), Nonprofit/NGOs (27,1 Prozent weniger) und Luft- und Raumfahrt/Verteidigung (24,1 Prozent weniger) reagiert (rot). Unternehmen anderer Branchen haben seltener gepatcht: In der Konsumgüterbranche hat BitSight 5,3 Prozent weniger, bei Versorgern 9,5 Prozent weniger und in der Technologiebranche 11,7 Prozent weniger betroffene Systeme gezählt.

Picture2Abb. 02: BlueKeep Industry Sector Exposure [Quelle: BitSight]

Stark gefährdet sind demnach weiterhin die Telekommunikationsbranche und der Bildungssektor, gefolgt von der Technologiebranche, Versorgern sowie Regierung/Politik. Die hohe Gefährdungsrate von Organisationen aus Telekommunikation und Bildung liegt teilweise daran, dass sie oft Transit Services anbieten. Hinzu kommen die vielen Sicherheitslücken auf den Systemen ihrer Kunden.

Einfluss von Patchen auf das IT-Sicherheitsrating

Die Grafik unten zeigt den Median der IT-Sicherheitsratings der Organisationen, die den Patch eingespielt haben (rot) im Vergleich zum Median der Organisationen, die noch nicht gepatcht haben. In fast allen Branchen schneidet die Gruppe der Organisationen, die bereits gepatcht haben, besser ab als die Gruppe der Organisationen, die noch verwundbare Systeme haben.

Organisationen, die dafür sorgen, dass ihre Systeme gepatcht sind, erhöhen augenblicklich die Cybersicherheit ihrer IT. Das führt auch zu Verbesserungen ihres IT-Sicherheitsratings. Organisationen, die zeitnah gepatcht haben, erhalten überwiegend eine höhere und somit bessere Einstufung beim IT-Sicherheitsrating, als Unternehmen, deren Systeme noch anfällig sind.

image-7Abb. 03: Median Security Rating of Vulnerable and Remediated Companies by Industry [Quelle: BitSight]

Bluekeep Anfälligkeit und Patch-Rate nach Ländern

Die Grafik unten zeigt die Anzahl der anfälligen Systeme nach Ländern geordnet, wobei die X-Achse die Anzahl Ende Mai und die Y-Achse die Anzahl Anfang Juli darstellt. Das Streudiagramm nutzt logarithmische Skalen, daher ist die prozentuale Veränderung für jedes Land in absoluten Werten größer, als das Diagramm sie erscheinen lässt. Die schwarze Linie stellt eine lineare Standardregression dar und ein Punkt auf der Linie würde keine Änderung im beobachteten Zeitraum bedeuten.

Picture4Abb. 04: Number of Vulnerable Systems by Country [Quelle: BitSight]

Im Idealfall würde sich der Punkt für jedes Land unterhalb der schwarzen Linie befinden, da dies eine Reduzierung anfälliger Systeme in diesen Ländern bedeutet. Es gibt jedoch Länder, bei denen BitSight kaum Änderungen beobachtet hat sowie Länder, in denen die Anzahl der exponierten Systeme gestiegen ist.

Konkret ist in einigen Ländern ein deutlicher Rückgang angreifbarer Systeme sichtbar. China weist mit einem Rückgang von 23,9 Prozent und 109.670 gepatchten Systemen die höchste Verbesserung in absoluten Zahlen auf. In den USA sank die Anzahl der gefährdeten Systeme auf 26.787, was einem Rückgang von 20,3 Prozent entspricht. Kolumbien (21,3 Prozent Rückgang), Lettland (20,7 Prozent Rückgang) und Guatemala (45,4 Prozent Rückgang) weisen ebenfalls eine hohe Patch-Rate auf. Auch nach den jüngsten Fortschritten haben China und die USA weiterhin die meisten exponierten Systeme.

BitSight beobachtete allerdings auch in einigen Ländern eine Ausbreitung von Bluekeep. Vor allem in Südkorea wurden zusätzliche 3.430 gefährdete Systeme gezählt, was einem Anstieg um 14,5 Prozent entspricht. In Estland wurden 146 mehr angreifbare Systeme gezählt, der Anstieg beträgt hier 32,2 Prozent.

Dieser Blogartikel beruht auf einer Pressemeldung unseres Technologiepartners BitSight: https://www.bitsight.com/blog/industry-response-to-bluekeep-vulnerability

Ihr Ansprechpartner bei VINTIN

Michael Grimm

Mitglied der Geschäftsleitung

+49 (0)9721 675 94 10

kontakt@vintin.de

Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.


Abonnieren Sie die Beiträge unseres VINTIN IT-Journals! In Zukunft werden Sie bei neuen Inhalten per Email kurz und bündig informiert.