Exploit-Tool »EsteemAudit«: Ältere Windows-Systeme bedroht

Mit »EsteemAudit« könnten Hacker gezielt ältere Windows-Systeme ins Visier nehmen. Palo Alto hat das Exploit-Tool jetzt analysiert und empfiehlt Schutzmaßnahmen für Windows XP und Co..

Wannacry kennt jeder, doch eine weiteres Exploit bedroht aktuell Windows-Nutzer.
(Foto: zephyr_p - Fotolia)

Das Exploit-Tool »EternalBlue« kennt mittlerweile jeder, denn es wurde angepasst, um den WanaCrypt0r-Wurm beim großem Ransomware-Angriff Anfang Mai zu verbreiten. Ein weiteres Exploit-Tool, das zeitgleich veröffentlicht wurde, ist »EsteemAudit«, das Palo Alto Networks nun näher unter die Lupe genommen hat. EsteemAudit nutzt CVE-2017-9073 aus, eine Sicherheitslücke im Windows Remote Desktop System unter Windows XP und Windows Server 2003. Die betroffenen Versionen des Betriebssystems werden von Microsoft nicht mehr unterstützt. Daher wurde auch kein Patch für die Schwachstelle veröffentlicht. Eine Netzwerkschwachstelle wie diese kann mittels einer Wurm-Methode ausgenutzt werden.

Palo Alto Networks empfiehlt Unternehmen, die sich immer noch auf diese veralteten Betriebssysteme verlassen, daher dringend, sich gegen die Ausnutzung dieser Sicherheitslücke zu schützen. Anderenfalls könnte ein Angreifer im Remote-Modus die Kontrolle über das System übernehmen.

CVE-2017-9073 existiert nur auf Windows Server 2003 und Windows XP. Beide Betriebssysteme werden nicht mehr von Microsoft unterstützt und somit ist kein offizieller Patch verfügbar. Unternehmen sollten daher im Optimalfall ein Upgrade auf eine neuere Windows-Version vornehmen. Da diese Sicherheitslücke jedoch das Smartcard-Modul gpkcsp betrifft, gibt es jedoch mögliche Behelfslösungen. Unternehmen, die ihre Systeme nicht aktualisieren können das Smartcard-Moduls über Gruppenrichtlinien oder in der Registry deaktvieren. Soweit möglich, sollte zudem der Zugriff auf RDP aus externen Quellen deaktiviert oder beschränkt werden.

Laut dem Sicherheitsunternehmen sind seine eigenen Kunden auf folgende Weise geschützt. Traps verhindert die Ausnutzung dieser Sicherheitsanfälligkeit auf Windows XP- und Server 2003-Hosts.Die Bedrohungspräventions-Signatur 32533, veröffentlicht im Content Update 692, erkennt den Exploit in der Next-Generation-Firewall.