NSA-Schwachstelle EternalBlue sorgt für endlosen Infektionskreislauf

Ungepatchte Computer sind der Grund, warum der NSA-Exploit EternalBlue nicht ausstirbt: Wird die Schadsoftware entfernt, infiziert sie den Rechner über die nicht geschlossene Lücke im Kernel jedesmal neu. Die betroffenen Computer stecken dementsprechend in einer nicht enden wollenden Infektionsschleife fest.

Anfällige Rechner werden in der Regel mit raubkopierten Windows-Versionen und der älteren Variante des SMB1-Protokolls betrieben, die den Angriffspunkt für EternalBlue bietet.

EternalBlue hält sich hartnäckig

„Auch ein Jahr nach den großen Angriffen WannaCry und Petya gibt es noch zahlreiche Computer, die immer wieder infiziert werden“, sagt Mikel Echevarria-Lizarrage, Senior Virus Analyst in den Avira Protection Labs. „Unsere Nachforschungen haben ergeben, dass dies auf Windows-Rechner zurückzuführen ist, auf denen kein Update gegen den NSA-Exploit EternalBlue installiert wurde, und die so ein leichtes Ziel für Malware darstellen.“

EternalBlue ist ein ursprünglich heimlich von der NSA eingesetzter Exploit, der schließlich von der Hackergruppe Shadow Brokers aufgedeckt wurde. EternalBlue nutzt eine Sicherheitslücke im Server-Message-Block-Protocol (SMB) von Microsoft aus. Dadurch ist es möglich, auf dem Zielrechner beliebigen Code auszuführen. Hacker nutzten diese Angriffsmöglichkeit im Jahr 2017 für die Ransomware-Angriffe WannaCry und Petya.

Nutzer von Windows-Raubkopien sind gefährdet

„Wir haben nach den Gründen für die wiederholten Infektionen einer Vielzahl an Rechnern gesucht“, erklärt Mikel Echevarria-Lizarrage. „Dabei zeigte sich, dass es sich überwiegend um Rechner mit Windows-Raubkopien handelte. Für diese Windows-Versionen sind keine Updates verfügbar oder sogar erwünscht. Dementsprechend haben diese Computer auch den Notfall-Patch gegen EternalBlue nicht erhalten, den Microsoft im März 2018 bereitgestellt hat.“ Avira – und auch Microsoft – empfehlen unabhängig voneinander, das SMB1-Protokoll komplett zu deaktivieren. „Wir haben das SMB1-Protokoll auf Rechnern abgestellt, die immer wieder befallen wurden und kein entsprechendes Windows-Update erhalten hatten,“ erklärt Echevarria-Lizarrage.

Seitdem hat Avira rund 300.000 Computer mit diesem Problem entdeckt. Die Avira Protection Cloud deaktiviert das anfällige Protokoll täglich auf rund 14.000 Computern.  „Unsere Strategie funktioniert“, sagt Echevarria-Lizarraga. „Sobald das SMB1-Protokoll abgeschaltet ist, ist der Infektionskreislauf beendet.“

Größter Malware-Befall außerhalb der USA und der EU

Avira hat eine Top-Ten-Liste der am stärksten von wiederholten Infektionen betroffenen Ländern erstellt:

  • Indonesien
  • Taiwan
  • Vietnam
  • Thailand
  • Ägypten
  • Russland
  • China
  • Philippinen
  • Indien
  • Türkei

Das überwiegende Auftreten von Malware-Infektionen außerhalb von Nordamerika und Europa deckt sich mit den von Statista herausgegebenen Zahlen zum Einsatz von nicht lizenzierter Software. Laut Statista liegt der Anteil an nicht lizenzierter Software außerhalb der USA und der EU im Durchschnitt bei rund 52 bis 60 Prozent, in den USA und der EU dagegen nur noch bei 16 beziehungsweise 28 Prozent. Raubkopien können in der Regel nicht über die neuesten Systemupdates aktualisiert werden, um Schwachstellen wie EternalBlue zu schließen.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.