16.05.2019 14:24

Der Teufel steckt im Detail - und sollte trotzdem nicht ignoriert werden!

Es ist erst Mittwoch, und schon jetzt hat sich diese Woche in der Securitywelt einiges getan.

Eine kritische Sicherheitslücke in WhatsApp wurde öffentlich (was Bloomberg dazu verleitet fälschlicherweise zu behaupten, Ende-zu-Ende Verschlüsselung sei "pointless"), im Hardwaredesign von Cisco gibt es eine Schwachstelle (die erste Schwachstelle, deren Name aus Emojis besteht .. die Woche ist wirklich nicht gut für meinen Blutdruck) und neue Angriffe auf (hauptsächlich) Intel-CPUs wurden bekannt.

Das sind die Dinge, die bis jetzt den Grossteil der medialen Aufmerksamkeit in dem Bereich auf sich gezogen haben, und das ist nicht falsch, das sind Dinge über die es sich - in jeder Hinsicht - zu berichten lohnt. Jedoch möchte ich ein wenig Aufmerksamkeit auf ein Event lenken, welchem normalerweise aufgrund seiner Regelmässigkeit relativ wenig Beachtung geschenkt wird - dem Microsoft Patch Day.

Genauer gesagt einer der Schwachstellen, die mit diesem gepatcht wird: CVE 2019-0708. Kurz und knapp:

  • Remote Code Execution in RDP
  • Präsent in allen Versionen von Windows bis inklusive Windows 7 / Windows Server 2008R2
  • Keine Authentifizierung notwendig
  • Keine bekannte Ausnutzung "in the wild", erster PoC-Code kursiert bereits
Auch wenn es wohl offensichtlich ist: RDP ist kein unpopuläres Protokoll. Die Zahlen variieren, je nachdem welchen der vielen Internetscanner man befragt, aber alleine in Österreich sind zwischen 5.000 und rund 30.000 Geräte zu finden, die auf Port 3389 erreichbar sind. Nicht eingerechnet sind die vielen Geräte, deren einzige Sicherheitsmassnahme zu sein scheint, RDP auf Port 3388 lauschen zu lassen.

Weltweit geht die Zahl der Geräte in die Millionen, und selbst wenn nur ein Bruchteil davon verwundbar sein sollte kann eine Schadsoftware mit Wurmcharakter hier massiven Schaden anrichten. Auch wenn, wie in sozialen Medien diskutiert, der existierende PoC-Code (der gerne für die erste Zeit von Malwareautoren 1:1 kopiert wird) instabil ist und eher zu Bluescreens als Remote Code Execution führt.

Das Ausnutzen der Schwachstelle in WhatsApp hingegen ist, Gerüchten zufolge, alles andere als trivial. Die Ende-zu-Ende Verschlüsselung in WhatsApp schützt die Nutzer sehr effektiv vor Massenüberwachung, und mehr kann man in dem Fall nicht erwarten. Ein Angreifer mit den Mitteln eines Staates ist ein Gegner, vor dem man sich nicht einfach durch die Verwendung einer vermeintlich sicheren Chat-App schützt. Für die breite Masse also etwas, wovor man sich nicht notwendigerweise fürchten muss.

Ich bin in dem Fall, so sehr ich die Forschungsarbeit in dem Bereich für wichtig halte & so sehr ich mir Sorgen um die Sicherheit der im Geschäftsbereich populärsten Architektur mache, jemand der sagt: "RIDL" und "Fallout" sind für den Moment noch theoretische Angriffe, also nichts worum wir uns immanent Sorgen machen müssen.

Selbiges gilt, aus anderen Gründen, für die Schwachstelle in Cisco-Geräten. Das ist sehr wohl etwas, dass Sorge hervorrufen sollte, nachdem es momentan noch keine bekannten Massnahmen zur Mitigation (oder gar Patches) gibt - hier gilt es zu beobachten und die Vorgehensweise an die Möglichkeiten der eigenen Organisation anzupassen.

Persönlich sehe ich die Gefahr auch hier eher noch abstrakt. Es wird, wie mit UEFI-Malware, noch etwas dauern, bis solche Schwachstellen aktiv von nichtstaatlichen Akteuren ausgenutzt werden.

Die aufmerksamkeitstechnisch etwas ignorierte RDP-Schwachstelle hingegen könnte uns sehr bald Kopfschmerzen bereiten. Auch wenn es nicht ganz so cool ist: Sofern irgendwie möglich patchen. Jetzt.

Post Scriptum: Wer sich nicht sicher sein sollte, ob der eigene RDP-Server im Netz hängt, der braucht nur in seine Inbox zu schauen - CERT.at informiert Netzbetreiber bereits seit einiger Zeit täglich per Mail genau darüber.

Autor: Alexander Riepl