academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Andere Bedrohungen Was ist EternalBlue und warum ist der Exploit MS17-010 immer noch relevant?

Was ist EternalBlue und warum ist der Exploit MS17-010 immer noch relevant?

EternalBlue ist als die am längsten aktive und schädlichste Sicherheitslücke aller Zeiten bekannt und ist der Alptraum unter den Cyberangriffen, der einfach nicht verschwinden will. Erfahren Sie, was EternalBlue ist, wie das Hacking-Tool an die Öffentlichkeit gelangte und warum die National Security Agency es überhaupt entwickelt hat. Erfahren Sie dann, wie Sie sich mit einer preisgekrönten Cybersicherheits-App vor Exploits schützen können.

PC-editors-choice-icon
2021
Editors' choice
tech-radar-icon
2021
Editor's choice
PCW-icon
2022
Testsieger
What_is_EthernalBlue-Hero

Was ist EternalBlue?

EternalBlue ist sowohl der Name einer Reihe von Microsoft-Software-Schwachstellen als auch der von der NSA als Cyberangriffswerkzeug entwickelte Exploit. Obwohl der Exploit EternalBlue – von Microsoft offiziell als MS17-010 bezeichnet – nur Windows-Betriebssysteme betrifft, besteht für alle Systeme, die das Dateifreigabeprotokoll SMBv1 (Server Message Block Version 1) verwenden, grundsätzlich das Risiko, Opfer von Ransomware und anderen Cyberangriffen zu werden.

Hamburguer menu icon

Dieser Artikel enthält:

    Wie wurde EternalBlue entwickelt?

    Sie fragen sich vielleicht, wer EternalBlue überhaupt entwickelt hat? Die Ursprünge der SMB-Schwachstelle erinnern stark an Spionagegeschichten – gefährliche NSA-Hacking-Tools sind durchgesickert, eine berüchtigte Gruppe namens Shadow Brokers ist auf der Jagd nach allgemeinen Schwachstellen und Sicherheitslücken und ein äußerst beliebtes Betriebssystem wird von Privatpersonen, Regierungen und Unternehmen weltweit genutzt.

    Laut den verurteilenden Erklärungen von Microsoft wurde EternalBlue von der Nationalen Sicherheitsbehörde der Vereinigten Staaten als Teil ihres umstrittenen Programms entwickelt, bei dem Schwachstellen in der Cybersicherheit gehortet und zu Waffen umfunktioniert werden, anstatt sie an den entsprechenden Anbieter zu melden.

    Vor dem Bekanntwerden war EternalBlue eine der nützlichsten Schwachstellen im Cyber-Arsenal der NSA, die in unzähligen Geheimdienst- und Terrorismusbekämpfungsmissionen eingesetzt wurde.
    New York Times

    Die NSA hat angeblich fast ein Jahr lang nach einem Fehler in der Software von Microsoft gesucht. Nachdem sie ihn gefunden hatte, entwickelte die NSA EternalBlue, um die Sicherheitslücke auszunutzen. Die NSA nutzte EternalBlue fünf Jahre lang, bevor sie Microsoft über dessen Existenz informierte.

    Seitdem hat Microsoft die NSA und andere Regierungsstellen aufgefordert, eine digitale Genfer Konvention zu unterstützen, die ein Ende der Anhäufung von Softwareschwachstellen durch Nationalstaaten fordert.

    Erstes Bekanntwerden und Auswirkungen

    Hier beginnt es interessant zu werden – die NSA wird gehackt und verbreitet unwissentlich die ewige Bedrohung durch EternalBlue in der ganzen Welt. Offiziell ist wenig darüber bekannt, wie die NSA gehackt wurde, aber hier ist das, was wir darüber wissen, wie EternalBlue an die Öffentlichkeit gelangt ist.

    Shadow Brokers, die inzwischen berüchtigte Hackergruppe, verschaffte sich Zugang zu EternalBlue und veröffentlichte das NSA-Hacking-Tool am 14. April 2017 über einen Link auf ihrem Twitter-Account. Es war nicht das erste Mal, dass die Shadow Brokers-Hacker zuschlugen, sondern bereits das fünfte Mal, dass sie sensible Exploits und Schwachstellen online veröffentlichten. Diese spezielle Veröffentlichung mit dem Titel „Lost in Translation“ enthielt das EternalBlue-Exploit, das Windows-Betriebssysteme anvisiert.

    EternalBlue wurde zunächst von der NSA entwickelt und später von der Hackergruppe Shadow Brokers verbreitetDie NSA hat eine Sicherheitslücke in Windows entdeckt und den EternalBlue-Exploit entwickelt, der dann von der Hackergruppe Shadow Brokers gestohlen und veröffentlicht wurde.

    Am 14. März 2017, genau einen Monat vor der Bekanntmachung durch Shadow Brokers, veröffentlichte Microsoft das Security Bulletin MS17-010. Der Zeitrahmen deutet darauf hin, dass Microsoft einen Hinweis auf die von der NSA entdeckten Sicherheitslücke erhalten hatte und sich beeilte, alles in seiner Macht Stehende zu tun, um die Millionen anfälliger Windows-Systeme zu schützen.

    Der Patch MS17-010 behebt die SMBv1-Software-Schwachstellen für alle unterstützten Windows-Betriebssysteme, einschließlich Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 und Windows Server 2016. Microsoft hat außerdem SMBv1 in den neuesten Versionen von Windows 10 und Windows Server 2012 und 2016 automatisch und standardmäßig deaktiviert.

    Um den Schweregrad des EternalBlue-Exploits zu demonstrieren, veröffentlichte Microsoft nach Bekanntwerden der Sicherheitslücke außerdem einen zweiten Notfall-Patch für nicht unterstützte Betriebssysteme. Diese zweite Version unterstützte Windows XP, Windows 8 und Windows Server 2003.

    Wie funktioniert EternalBlue?

    Der EternalBlue-Exploit nutzt SMBv1-Schwachstellen in älteren Versionen von Microsoft-Betriebssystemen aus. SMBv1 wurde Anfang 1983 als Netzwerkkommunikationsprotokoll entwickelt, um den gemeinsamen Zugriff auf Dateien, Drucker und Ports zu ermöglichen. Es war im Wesentlichen eine Möglichkeit für Windows-Rechner, miteinander und mit anderen Geräten über Remote-Dienste zu kommunizieren.

    EternalBlue nutzt die SMBv1-Schwachstellen aus.EternalBlue nutzt Schwachstellen in SMBv1 aus, um bösartige Datenpakete einzufügen und Malware über das Netzwerk zu verbreiten.

    Die Schwachstelle nutzt die Art und Weise aus, wie Microsoft Windows speziell erstellte Pakete von bösartigen Angreifern behandelt oder besser gesagt falsch behandelt. Alles, was der Angreifer tun muss, ist, ein böswillig erstelltes Paket an den Zielserver zu senden, und schon breitet sich die Malware aus und ein Cyberangriff ist die Folge.

    Die Common Vulnerabilities and Exposures-Nummer von EternalBlue ist in der National Vulnerability Database als CVE-2017-0144 verzeichnet.

    Microsofts Patch schließt die Sicherheitslücke vollständig und verhindert damit Versuche, Ransomware, Malware, Cryptojacking oder andere wurmartige Versuche der digitalen Infiltration mithilfe des EternalBlue-Exploits zu implementieren. Aber ein Hauptproblem bleibt bestehen – für viele Windows-Versionen muss das Software-Update installiert werden, um Schutz zu bieten.

    Es ist dieses Hauptproblem, das EternalBlue eine so lange Lebensdauer verleiht – viele Menschen und sogar Unternehmen versäumen es, ihre Software regelmäßig zu aktualisieren, wodurch ihre Betriebssysteme ungepatcht und somit anfällig für EternalBlue und andere Angriffe bleiben. Bis zum heutigen Tag beläuft sich die Zahl der ungepatchten anfälligen Windows-Systeme auf mehrere Millionen.

    Wie wird EternalBlue bei Cyberangriffen eingesetzt?

    EternalBlue wurde bekanntlich zur Verbreitung der Ransomware WannaCry und Petya verwendet. Die Sicherheitslücke kann jedoch für jede Art von Cyberangriff verwendet werden, einschließlich Cryptojacking und wurmartiger Malware. Der NSA-Hack öffnete jedem Angreifer die Tür, um ein bösartiges Paket an einen anfälligen Server zu senden, der den Patch zur Behebung von CVE-2017-0144 noch nicht angewendet hat.

    WannaCry

    Der Name sagt schon alles. WannaCry ist der Name eines weltweiten Ransomware-Angriffs, der durch den EternalBlue-Exploit ermöglicht wurde. Sehen Sie, selbst Hacker haben eine humorvolle Seite.

    Der WannaCry-Cyberangriff begann am 12. Mai 2017 und hatte sofort weltweite Auswirkungen. Die Ransomware verbreitete sich mit einer Geschwindigkeit von 10.000 Geräten pro Stunde und infizierte an einem einzigen Tag über 230.000 Windows-PCs in 150 Ländern.

    Obwohl keine spezifischen Ziele erkennbar waren, waren einige große Namen und Einrichtungen betroffen, darunter FedEx, die Universität von Montreal, LATAM Airlines, die Deutsche Bahn und vor allem der Gesundheitsdienst des Vereinigten Königreichs, der National Health Service (NHS). Der NHS meldete, dass Tausende von Terminen und Operationen abgesagt wurden und dass Patienten aufgrund des Sicherheitsverstoßes weitere Wege zu Unfall- und Notaufnahmen zurücklegen mussten.

    Petya

    Petya ist ein weiterer Ransomware-Cyberangriff, der die EternalBlue-Schwachstelle nutzte, um Schaden anzurichten

    Petya kam eigentlich Anfang 2016 auf den Markt, also noch vor WannaCry, allerdings ohne großes Aufsehen und ohne großen Schaden anzurichten. Die erste Version von Petya wurde über einen bösartigen E-Mail-Anhang verbreitet und war eine ziemlich gewöhnliche Form von Ransomware – Ihr Computer wird infiziert und Ihre Dateien werden verschlüsselt (oder gegen Lösegeld festgehalten), bis Sie 300 US-Dollar in Bitcoin bezahlen, um einen Entschlüsselungsschlüssel zu erwerben

    Übrigens empfehlen wir Ihnen, niemals, niemals, niemals, niemals das Lösegeld zu zahlen.

    Petya ist ein weiterer Ransomware-Stamm, der die EternalBlue-Schwachstelle nutzte.Die Petya-Ransomware verschlüsselt Dateien und verlangt für die Freigabe der Dateien ein Lösegeld in Bitcoin.

    Dank EternalBlue und dem unglücklichen Erfolg von WannaCry erhielt die Petya-Ransomware eine zweite Chance auf Zerstörung. Im Juni 2017 wurde NotPetya unter Verwendung des EternalBlue-Exploits eingesetzt, und dieses Mal haben die Menschen es bemerkt.

    Der Hauptunterschied zwischen der ersten und zweiten Version von Petya bestand darin, dass NotPetya (Petya V2) darauf abzielte, ein System vollständig zu deaktivieren. Egal ob das Lösegeld gezahlt wurde oder nicht, es gab keine Gegenmaßnahme. Der Cyberangriff verschlüsselte dauerhaft die Master File Table (MFT) und den Master Boot Record (MBR) eines Computers.

    Wie hoch ist der finanzielle Schaden, den EternalBlue verursacht hat?

    Wie hoch ist also die Rechnung für EternalBlue und wer zahlt sie? Die Antwort beginnt mit einem M, wie Milliarden, und die Leute, die dafür bezahlen, reichen von Einzelpersonen wie Ihnen, sowohl direkt als auch über Steuern, bis hin zu multinationalen Unternehmen.

    Schätzungen zufolge belaufen sich die Kosten für NotPetya auf über 10 Milliarden US-Dollar und für WannaCry auf rund 4 Milliarden US-Dollar.

    Einige große Namen wurden ziemlich hart getroffen. Das weltgrößte Schifffahrtsunternehmen Maersk verlor 300 Millionen US-Dollar, das Kurier- und Logistikunternehmen FedEx 400 Millionen US-Dollar und Merck Pharmaceuticals (außerhalb Nordamerikas als MSD bekannt) 870 Millionen US-Dollar, nachdem 15.000 seiner Windows-Rechner in nur 90 Sekunden von NotPetya befallen wurden.

    Ein noch größerer Verlust, der sich nicht so leicht in US-Dollar beziffern lässt, war der Verlust von Daten und Zugriffsmöglichkeiten für Krankenhäuser und Einrichtungen des Gesundheitswesens

    Wenn ein Netzwerk in einem Krankenhaus zusammenbricht, können Ärzte keine Informationen über potenziell lebensrettende Operationen einsehen, die eigentlich stattfinden sollten. Sie können auch keine Änderungen an Medikamenten aufzeichnen oder darauf zugreifen. Krankenhäuser können sogar die GPS-Signale für die Ortung von Krankenwagen verlieren, wie dies in der Ukraine während des NotPetya-Cyberangriffs passierte.

    Es sind diese Arten von Verlusten, die nicht finanzieller Art sind, die Cyberangriffe für die Gesellschaft insgesamt so gefährlich machen.

    Ist EternalBlue noch im Umlauf?

    Die kurze Antwort lautet: Ja, EternalBlue ist am Leben und aktiv. Obwohl WannaCry und NotPetya Anfang 2017 den größten Schaden angerichtet haben, sind andere Angriffe, die EternalBlue ausnutzen, leider immer noch aktiv. Im Mai 2019 gab es täglich Hunderttausende von EternalBlue-Angriffsversuchen.

    Genau genommen blockiert Avast mit Stand vom Juni 2020 immer noch rund 20 Millionen EternalBlue-Angriffsversuche pro Monat.

    Fast eine Million Rechner nutzen immer noch das anfällige SMBv1-Protokoll und bleiben online. Allein diese Tatsache sorgt dafür, dass EternalBlue nicht verschwindet. Solange die Computer nicht gepatcht und online sind, bleiben sie ungeschützt.

    Die größere Bedrohung könnte allerdings in ungenutzten Sicherheitslücken liegen, die ebenfalls während des NSA-Hacks von Shadow Brokers veröffentlicht wurden. EternalBlue war nur eine von vielen.

    Die gefährlichste Bedrohung, die sich am Horizont abzeichnet, trägt den Namen EternalRocks und steht kurz vor der Entwicklung. Im Gegensatz zu WannaCry, das zwei der im NSA-Hack aufgedeckten Sicherheitslücken nutzte, soll EternalRocks sieben Sicherheitslücken nutzen, darunter EternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch und SMBTouch. Zu den potenziellen Bedrohungen gehört auch Shellcode, der direkt nach den Eternal-Exploits ausgeführt wird, wie DoublePulsar.

    Ist mein System in Gefahr?

    Eventuell.

    Aber die gute Nachricht ist, dass es wirksame Tools gibt, mit denen Sie sich schützen können. Auch wenn die Bedrohung durch EternalBlue bestehen bleibt, können Sie sich mit Sicherheitspatches wie MS17-010 und kostenloser Antivirensoftware schützen.

    Wir empfehlen allen Windows-Nutzern, den von Microsoft bereitgestellten Sicherheitspatch MS17-010 zu installieren. Sie müssen lediglich Ihre Software auf die neueste Version von Windows aktualisieren. Andernfalls würden Sie versuchen, die Probleme der Gegenwart mit Mitteln der Vergangenheit zu bekämpfen. Das SMBv1-Protokoll muss außer Kraft gesetzt werden, daher sollten alle Windows-Benutzer den Patch anwenden.

    Tragen Sie Ihren Teil dazu bei, indem Sie Ihren Computer mit den neuesten verfügbaren Software-Updates aktualisieren, und befolgen Sie diese fünf Tipps für ultimative Online-Sicherheit und -Privatsphäre.

    Möchten Sie herausfinden, ob Ihr PC für einen EternalBlue-Cyberangriff anfällig ist? Unser WLAN-Inspektor kann das sofort für Sie überprüfen.

    Verteidigen Sie sich gegen zukünftige Angriffe

    Cyber-Angreifer meinen es ernst, wir aber auch! Deshalb hat Avast eine leistungsstarke Antiviren-Software entwickelt, die schädliche Ransomware-Angriffe wie WannaCry und Petya blockiert. Wir nutzen Cloud-basierte künstliche Intelligenz, um sechs Schutzschichten gegen Malware und andere Bedrohungen zu bieten, einschließlich solcher, die die SMBv1-Schwachstelle ausnutzen.  Außerdem prüft unsere Firewall den gesamten ein- und ausgehenden Datenverkehr in Ihrem Netzwerk, um sicherzustellen, dass Sie sicher bleiben.

    Avast One erkennt und verhindert automatisch Malware-Angriffe und scannt Ihren Computer auch auf veraltete Software, die Sicherheitslücken wie EternalBlue enthalten könnte. Bleiben Sie mit einer erstklassigen Cybersicherheitslösung vor Exploits und anderen aktuellen und zukünftigen Online-Bedrohungen geschützt.

    Mit Avast One Ihr Android-Gerät vor Exploits und Malware schützen

    KOSTENLOSE INSTALLATION

    Mit Avast One Ihr iPhone vor Online-Bedrohungen schützen

    KOSTENLOSE INSTALLATION