Alle Windows-Versionen betroffen: Gefährliche Sicherheitslücke wird zum Verkauf angeboten

[HWL News Bot]

Die Sicherheitslücke in den Remote-Desktopdiensten von Windows sorgt derzeit wieder für Aufmerksamkeit in der IT-Sicherheitscommunity. Denn für die bekannte Schwachstelle wird in einem Hackerforum inzwischen ein Exploit angeboten, der Angreifern erweiterte Systemrechte verschaffen soll. Der Verkäufer verlangt dafür Berichten aus der Szene zufolge rund 220.000 Dollar.
... weiterlesen

 

[Mr.Mito]

Microsoft hat die Schwachstelle bereits im Rahmen des Patchdays am 10. Februar geschlossen.

Und dann 220k fürn exploit?

 

[passat3233]

Ja, denn sehr sehr viele Systeme sind ungepatcht.
Wenn man sich die entsprechenden Statistiken anschaut, ist man nur noch erschrocken, wieviele Systeme seit Monaten oder gar Jahren nicht ein Sicherheitsupdate installiert bekommen haben.

 

[Rudi Ratlos]

Siehe Wannacry. Da waren nach dem Tip der NSA an M$, daß ihnen ihre Toolbox abhanden gekommen war (Nachtigall, Nachtigall), auch schon Patches ausgerollt worden, und das sogar recht fix. Aber nur für die damals "aktuellen" Windows-Versionen. Für XP gab es nix, und darauf liefen noch etliche Firmennetze, wie bei DB und Schenker. Auch waren etliche aktuelle Systeme nicht gepatcht worden, weil das für die Admins immer eine Heidenarbeit ist.

 

[Rego123]

Regelmäßiges und zeitnahes Patchen gehört zum Admin-Alltag und ist wie eine ordentliche Dokumentation Grundvoraussetzung für ein professionelles Arbeitsumfeld.

 

[Liesel Weppen]

Regelmäßiges und zeitnahes Patchen gehört zum Admin-Alltag und ist wie eine ordentliche Dokumentation Grundvoraussetzung für ein professionelles Arbeitsumfeld.

Jo, da hast du schon irgendwie Recht.
Aber jetzt überlegst du nochmal, wieviele (Windows)systeme in freier Wildbahn wohl komplett ohne irgendwelcher Art von professioneller Adminbetreuung oder überhaupt irgendeinem Arbeitsumfled betrieben werden. Z.B. quasi ALLE lediglich privat genutzen Systeme, die nicht gerade von HWLuxx-Lesern betrieben werden, sondern von z.B. (d/m)einer Oma.

Beitrag automatisch zusammengeführt: Dienstag um 00:14

Siehe Wannacry.

War Wannacry nicht das Ding, wo man quasi instant infiziert wurde, sobald man ein vanilla-installiertes Windows (XP) (also ohne jegliche Patches/Service-Pack, sondern damals noch klassisch von der CD im Auslieferungszustand installiert) direkt mit dem Internet verbunden hat. Also ohne jegliches Zutun des Anwenders, ohne das da irgendwelcher lokale Zugriff vorher nötig war?
Aber man selbst schon davor bewahrt wurde, wenn die Internetverbindung einfach nur über NAT realisiert war, statt direct dial-up?

Oder verwechsle ich da gerade was? Egal wie... das ist schon nochmal ein himmelweiter Unterschied, ob man ein Grundsystem einfach nur weil es direkt im Internet steht ohne jegliche Hürde infizieren kann, oder ob man wie hier erwähnt soch erstmal lokalen Zugang benötigt.

Edit: Nee, google/wikipedia sagt, wannacry war erst 2017 rum. Das was ich gerade im Kopf habe war wohl "Blaster".

 

[passat3233]

So ist es.
Patchen und regelelmäßige Backups ist die oberste Pflicht von Admins.
Alles andere ist nachrangig, Sicherheit und Backups haben Priorität zu haben.
Eine nicht gepatchte und nicht gesicherte IT kann die Existenz eines Unternehmens gefährden.
So passiert letztes Jahr z.B. in Bayern.

Unternehmen wurde wegen nicht gepatchter IT Opfer von Cyberkriminellen und es ist auch nach Wochen nicht gelungen,
die IT wieder ans Laufen zu bekommen und die Daten wieder herszustellen.
Die Firma war damit handlungsunfähig und musste Insolvenz anmelden.

 

[Erklärbär]

Da muss deren IT dann aber schon an mehreren Stellen, unabhängig der Attacke, gepennt haben, wenn die noch nicht einmal ein Backup am Start hatten.

 

[Luxxiator]

Inkompetenz und/oder Sparzwang wie so oft?

 

[Erklärbär]

Naja, ich kenne das ja (von früher) aus den Finanzämtern NRW. Teils tolle Bauten (HSK zb.) mit echt guten Kantinen, oftmals überdimensioniert für das bischen "anwesende" Personal, viele arbeiten tatsächlich im Homeoffice, müssen sich aber auf die ganz altmodische erst durch eine vor Ort anwesende Kraft online beim FA. in deren Netz anmelden und einloggen lassen (das ist wirklich so!). Jedes aber auch wirklich jedes FA. hat eine IT die meist arrogant und abgehoben daher kommt aber im Endeffekt dann doch zu dumm ist, den eigenen MA. zu erklären wie z.b. daisychain verkabelte Monitore via Windows konfiguriert werden. Und die paar wirklich kompetenten IT'ler (leider nicht sehr viele) die dort herum laufen, die dürfen nicht das was sie gerne möchten und können, da die für jeden Pups - aber auch wirklich jeden kleinsten Pups - erst bei den jeweiligen Vorsteher vorstellig werden müssen. Da kann es dann auch durchaus mal passieren, dass da Drittfirmen, die sich nur sehr lapidar legitimieren müssen, Zutritt zu deren Serverräumen erhalten, auch um dort nur mal ein paar Tastaturen und Monitore auszutauschen. Ist also kein Problem sich dort mal "kreativ auszutoben". Von daher.. ..das wird wohl in anderen hochsensiblen Behörden auch nicht viel anders laufen.

Das Problem in DE ist halt, hier scheint jede Behörde und jedes Amt wirklich autark und abgekapselt vom Rest der Welt für sich zu laufen. Da wird nichts zentral gewartet und up_to_date gehalten, von daher hört und liest man auch immer wieder einmal, dass diese und jene Behörde sich mal diesen und jenen Virus eingefangen hat. Das liegt dann aber auch wirklich an deren IT, denn die MA. haben quasi keinen bzw. nur sehr eingeschränkten Zugriff auf das öffentliche Internet.

Am schärfsten ist aber Köln. Da ist in den größten Bau (die haben ingesamt, glaube sechs Finanzämter) gleich drei Behörden (FA, BA und Zoll) teils auf gleicher Etage, dürfen sich aber nicht auf den "kurzen Dienstweg" untereinander austauschen. Laufen anders herum aber über quasi ein und dasselbe Netz. Sehr paradox das ganze.

..ist jetzt rund 5 Jahre her aber in Behördenslang und deren Geschwindigkeit gerechnet, war das ja dann erst quasi gestern.

 

[DragonTear]

Das Problem in DE ist halt, hier scheint jede Behörde und jedes Amt wirklich autark und abgekapselt vom Rest der Welt für sich zu laufen. Da wird nichts zentral gewartet und up_to_date gehalten, von daher hört und liest man auch immer wieder einmal, dass diese und jene Behörde sich mal diesen und jenen Virus eingefangen hat.

Einerseits fluche ich auch gern darauf, vorallem wenn sich "Datenschützer" gegen jegliche Zentralisierung die Convenience schaffen würde, stellen...
Aber dein Argument ist schon interessant, meinst du security wär mit Zentralisierung besser?
Wär nemlich geneigt das Gegenteil anzunehmen.
Irgendeine Lücke gibt es halt immer und wenigstens ist dann nur eine Behörde betroffen, nicht alle...

 

[Erklärbär]

Ganz ehrlich? Die Datenschützer hierzulande haben, meiner Meinung nach, den größten Schuss im Ofen und sind Innovationsbremsen vorm Herrn.
Ich hatte, bin ich zu verpflichtet da jedes Unternehmen in diesen Segment einen nach EU DSVGO bevollmächtigten Datenschutzbeauftragen vorhalten muss und das Zertifikat auch immer wieder mal vorlegen, bei der IHK (NRW) einen dementsprechenden Lehrgang belegt. Ganz ehrlich, die knapp 2000 Euro dafür waren mal total in den Sand gesetzt.
Schlicht und kurz: Die langen Dienstwege, oft aus der Lostrommel gezogenes "Fach"personal und halt Auflagen die nicht selten gegeneinander arbeiten/wirken verhindern vieles was in der Privatwirtschaft viel schneller und effizienter schon lang umgesetzt wurde. Daran scheitert vieles und halt daran, dass viele der dort arbeitetenden "Entscheider" (die mir mitunter auch leid tun) selbst den Überblick verloren haben.
Das ist auch mit ein Grund dafür, dass Personal aus den öffentlichen Sektor (viele mit Zeitverträgen), bei Bewerbungen in der Privatwirtschaft als "vierte Garnitur" ganz unten im Bewerbungsstapel landen.
Nicht selten werden da sogar Quereinsteiger noch bevorzugt. Zumindest habe ich das so von befreundeten FA. mitbekommen.

ps: Aber versuch einmal in DE eine Zentralisierung, die durchaus Sinn machen würde, im öffentlichen Sektor einzuführen. Da kommen gleich andere Behörden auf den Plan, vieleicht sogar noch eine Artenschutz Behörde die dann das GO verhindert, weil die der Meinung sind, dass eine "Wollmaus" eine aussterbende Tiergattung sei und daher besonders schützenswert ist.

pps: Ich kann dir ganz aktuell, habe gerade mit ihm telefoniert, einen Fall schildern, der wunderbar zeigt wie öffentliche Institute und da zählt die BA ja mit dazu "denken" und handeln "müssen". Der Mann ist Anfang 40 und hat vor ca. 4 Jahren seinen Triebfahrzeugführerschein (Lokführer) gemacht und erfolgreich bestanden. Die Firma wo er danach in einen ganz anderen Bereich arbeitete ist insolvent gegangen, er bekommt einfach keinen neuen Job und möchte nun eine sog. Zusatzbescheinigung zu seinen Triebfahrzeugführer im Rahmen einer Förderung durch die BA bei einen Träger, der ihm auch schriftlich garantiert, dass er bei der Bahn als Lokführer danach auch eine Stelle bekommt (da wird wohl händeringend nach denen gesucht) und hat dieses der BA vorgelegt. Jetzt hat die BA ihm geantwortet: "..machen wir, kein Thema -ABER- du musst vorher erst einmal an einer einmonatigen Feststellungsmaßnahme teilnehmen, damit wir sehen, ob du überhaupt die Grundvoraussetzungen für den Lokführer erfüllst!" Hmmm? Er hat doch schon seinen Lokführerschein! ..wie kann er da nicht die "Voraussetzungen" erfüllen? Ihm fehlt diese Zusatzbescheinigung, weil nur der Führerschein alleine quasi wertlos ist. Zweite Nummer, er hatte sich selbst einen Träger für diese Feststellung gesucht, die seine Qualifizierung in 2 Wochen hätte feststellen können statt in 4 Wochen - in Wohnortnähe. Nö, darf er nicht! Warum? Die BA hat die Plätze für den anderen Träger schon vorab eingekauft, die müssen belegt werden. Da toppt ein Paradoxum, das nächste. So ticken deutsche Behörden.

 

[passat3233]

Da muss deren IT dann aber schon an mehreren Stellen, unabhängig der Attacke, gepennt haben, wenn die noch nicht einmal ein Backup am Start hatten.

Oder Backup war defekt.
Ein Fall von vor 20 Jahren in einer Firma in der näheren Umgebung:
Ein Server hat ein Plattensystem mit RAID 5.
Plötzlich kann man nicht mehr auf den Server zugreifen.
Es stellt sich heraus, das eine Platte im Raid 5 ausgefallen ist.
Aber das darf ja nicht zum Ausfall führen, ein Raid 5 läuft auch mit einer ausgefallenen Platte.
Da stellte sich dann heraus, das nicht nur diese Platte ausgefallen ist, sondern eine 2. Platte schon vor mehreren Monaten ausgefallen ist. Und mit nur 1 Platte läuft dann ein Raid 5 nicht mehr.
OK, man hat dann 2 neue Platten reingesteckt und wollte das Backup vom Vortag zurückspielen.
Da stellte sich dann heraus, das das Backup schon seit Monaten nicht mehr fehlerfrei durchgelaufen ist, ergo kein aktuelles Backup vorhanden ist, sondern nur eins, das ein paar Monate alt ist.
In der Firma ist es niemandem aufgefallen, das eine Festplatte ausgefallen ist und auch nicht, das das Backup nicht mehr fehlerfrei durchläuft.
Da hat die IT also monatelang tief und fest gepennt!

Was die BA angeht:
Die BA steckt die Leute immer in Maßnahmen, um die Arbeitslosenzahlen zu beschönigen.
Denn jeder Arbeitslose, der in einer Maßnahme steckt, zählt bei der Arbeitslosenstatistik NICHT mit!
Und das ist schon seit sicher 50 Jahren so.
Die Arbeitslosenstatistik ist also Fake!
Die reale Arbeitslosenzahl liegt deutlich höher.

Ein ehemaliger Kollege, der inzwischen in Rente ist, hat das auch live erlebt.
Der ist vor einigen Jahren zum 1.4. in Rente gegangen, hat aber schon zum 31.12. des Vorjahres gekündigt.
Er wollte die 3 Monate also als Arbeitsloser überbrücken, weil er keine Lust mehr auf Arbeiten hatte.
Und was wollte die BA machen?
Die wollte ihn in eine Maßnahme stecken, obwohl die BA wusste, das er zum 1.4. in Rente geht.
Und richtig kurios ist die Maßnahme, in die die ihn stecken wollten.
Die hieß "Wie bewerbe ich mich richtig....". Sehr sinnig für jemanden, der in Rente gehen will.
Der muss und will sich nirgendwo mehr bewerben.
Aber die BA hatte wohl in der Maßnahme noch Teilnehmerplätze frei.

 

[DragonTear]

Die wollte ihn in eine Maßnahme stecken, obwohl die BA wusste, das er zum 1.4. in Rente geht.

Also das kann ich voll verstehen, sonst lässt es sich jeder ein halbes Jahr vor der Rente, schon auf Staatskosten gut gehen.

 

[passat3233]

Naja, das hat dann aber Abzüge in der Rente zur Folge.
Jeden Monat, den man länger arbeitet, erhöht die Rente.
Für Arbeitslosenzeit bekommt man zwar auch Rentenpunkte, aber lange nicht so viele, wie wenn man arbeitet.
Das mag zwar bei 3 Monaten nicht viel sein, aber es addiert sich über die Jahre, da die Rentenerhöhungen prozentual erfolgen.

Und ich habe meinen Arbeitskollegen damals auch nicht verstanden.
Die 3 Monate hätte ich auf jeden Fall noch gearbeitet.

 

[Erklärbär]

Ich kritisiere ja nicht die Maßnahme ansich, finde ich sogar sinnvoll um z.b. die "Spreu vom Weizen" zu trennen, sondern die Begründung.
Der hat seinen Lokführerschein schon lange, hat er mir damals auch gezeigt (sah fast wie ein PKW Führerschein aus) und war megastolz darauf.
Und nun will man "feststellen" ob er für einen Lokführerschein, diese Zusatzbescheinigung oder was auch immer geeignet ist? Ich denke mal, dass Geld könnte man wirklich sinnvoller investieren.

..nun wirds aber zuviel OT, von daher..