Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar

16. Mai 2019

Beschreibung

Microsoft hat als Teil des "Patch Tuesday" ein Update für eine Schwachstelle in "Remote Desktop Services" veröffentlicht. Diese Schwachstelle ermöglicht es einem Angreifer, durch eine speziell präparierte Anfrage Codeausführung zu erreichen.

Details

Das Ausnützen der Sicherheitslücken ermöglicht einem Angreifer die Ausführung von Code im Kontext des Benutzers des RDP-Servers. Dafür ist keine Authorisierung oder sonstige Benutzerinteraktion notwendig, die Erreichbarkeit des Systems im Netzwerk ist ausreichend.

Bis jetzt ist keine Ausnutzung der Schwachstelle "in the wild" bekannt, aufgrund der öffentlichen Verfügbarkeit von Proof-of-Concept Code ist jedoch davon auszugehen, dass sich dies bald ändern wird. Aufgrund der Natur der Lücke besteht die Gefahr, dass Schadsoftware sich durch sie "wurmartig" verbreiten kann.

Auswirkungen

Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefärdet.

Betroffene Systeme

Systeme mit folgenden Versionen von Microsoft Windows:
  • Windows XP, Windows 7 (in allen Varianten)
  • Windows Server 2003, 2008 und 2008R2

Abhilfe

Einspielen der Patches gemäss der jeweiligen Prozesse bzw. Policies. Die Patches sind auch für Versionen von Windows verfügbar, die ansonsten bereits EoL sind.

Falls dies nicht möglich sein sollte erwähnt Microsoft die folgenden Workarounds:

  • Aktivierung von "Network Level Authentication (NLA)" auf Systemen, die dies unterstützen
  • Blocken von TCP-Traffic auf Port 3389 auf der externen Firewall

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory von Microsoft (englisch)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708