Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.
Remote Desktop Services. Mal wieder.
14. August 2019

Ich bin normalerweise ein Freund blumiger Sprache, aber nachdem das Thema dieses Blogposts wieder einmal kritische Schwachstellen in den Microsoft Remote Desktop Services sind, fasse ich mich ausnahmsweise kurz: Im Zuge des aktuellen Patchdays hat Microsoft, unter anderem, Fixes für zwei Schwachstellen (CVE-2019-1181, CVE-2019-1182) in Remote Desktop Services veröffentlicht.

Diese als kritisch eingestuften Schwachstellen erlauben Codeausführung und sind, wie schon die letzte RDP-Schwachstelle, potentiell wurmbar. Auch wenn es bisher noch keinen öffentlich verfügbaren Proof-of-Concept, oder gar eine Ausnutzung durch Schadsoftware in freier Wildbahn, gibt, so ist man aufgrund der Schwere der Schwachstelle gut beraten, die verfügbaren Patches schnellstmöglich einzuspielen.

Betroffen sind alle Versionen ab Windows 7 aufwärts, wer also Windows XP einsetzt ist vor diesen Schwachstellen sicher .. hat aber einen riesigen Haufen ganz anderer Probleme. Kurzum: Patchen, jetzt!

Autor: Alexander Riepl

BlueKeep, mal wieder
25. Juli 2019

Das "Schöne" an der IT ist, dass uns manche Themen längerfristig begleiten. So auch die Schwachstelle mit der CVE-Nummer 2019-0708, besser bekannt unter dem Namen "BlueKeep".

Wir haben davor gewarnt und darüber gebloggt - und Letzteres muss leider wieder sein.

Relativ kurz nach Bekanntwerden der Schwachstelle gab es ersten Code, der zur Erkennung der Schwachstelle genutzt werden konnte, und potentiell einen Crash auslöste. Eine Woche später gab es bereits mehrere stabile Scanner, und einige weniger stabile PoCs, die garantiert einen Crash auslösten. Stabile Codeausführung war einigen wenigen Sicherheitsforschern und, Gerüchten zufolge, diversen Firmen die kommerziell Malware an Staaten verkaufen vorbehalten.

Dies könnte sich jetzt zeitnah ändern, denn Mitarbeiter der Firma Tencent haben die Slides ihres Vortrages auf einer Konferenz veröffentlicht, in welchem Sie detailliert Codeausführung durch Ausnutzung dieser Schwachstelle erklären. Dies senkt die Hürde für ein Ausnutzen der Schwachstelle in Schadsoftware massiv, und bringt uns einige Schritte näher an den initial befürchteten "BlueKeep-Wurm".

Deswegen erneut der Aufruf: Patchen, patchen und nochmal patchen. Die initiale Veröffentlichung ist nun mehr als zwei Monate her, die Patches sind getestet und eindeutig stabil. Es gibt kaum einen Grund, nichts zu unternehmen. Und falls aus wie auch immer gearteten Gründen kein Patchen möglich sein sollte, dann bitte zumindest sonstige Vorsichtsmassnahmen treffen, Firewalls und VPNs sind hier die Mittel der Wahl.

Und auch wenn sich in Ihrem Netzwerk keine nach aussen sichtbaren, verwundbaren RDP-Server befinden, so ist es mehr als angebracht, auch interne RDP-Server zu patchen. Man muss einem Angreifer, der einen initialen Fuss in die (sprichwörtliche) Tür bekommen hat, nicht ein offensichtliches Ziel auch noch auf dem Silbertablett servieren.

Autor: Alexander Riepl

Zoom, Zoom, Zoom
9. Juli 2019

In der Video-Chat Software "Zoom" gibt es einen Bug, der es Angreifern erlaubt mittels einem einfachen Link auf einer Webseite die Kamera einzuschalten und (zumindest Apple/Mac, für Windows haben wir aber auch schon erste Gerüchte vernommen) Benutzer ohne Rückfrage in Videochats einzubinden. Die Implikationen für Privatsphäre sind offensichtlich. Siehe den Artikel bei medium.com.

Ebenso schwerwiegend scheint mir aber, dass auch nach Deinstallation noch ein lokaler Webserver übrigbleibt, über den die Software automatisch und ohne weitere Rückfrage wieder nachinstalliert werden kann. Eine Nachkontrolle, was denn alles auf dem eigenen Gerät so läuft und auch noch am Netz (und sei es nur auf localhost) lauscht, ist eine gute Idee und sollte regelmässig durchgeführt werden. Und man fragt sich auch, ob derartige "Komfort"-Features wirklich sein müssen...

Weiters, um den Artikel-Autor zu zitieren: "When responding to responsible disclosure, don't go into PR spin mode. It's counterproductive." Dem kann ich mich nur vollinhaltlich anschliessen.

(Und falls sich jemand gefragt hat, warum grade in der IT-Security Branche viele Leute ihre Laptop-Kameras abkleben - hier ist ein gutes Beispiel.)

Autor: Robert Waldner

In eigener Sache: CERT.at sucht Verstärkung
2. Juli 2019

Für unsere täglichen Routineaufgaben suchen wir derzeit 1 Berufsein- oder -umsteiger/in mit ausgeprägtem Interesse an IT-Security, welche/r uns bei den täglich anfallenden Standard-Aufgaben unterstützt.

Details finden sich auf unserer Jobs-Seite.

Autor: Robert Waldner

Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Schwachstelle in bzip2 - je nach Setup für RCE ausnutzbar
24. Juni 2019 | Beschreibung In ...
Kritische RCE Schwachstelle in Oracle WebLogic Server
19. Juni 2019 | Beschreibung | Mehrere ...
mehr ...
Remote Desktop Services. Mal wieder.
14. August 2019 | Ich ...
BlueKeep, mal wieder
25. Juli 2019 | Das "Schöne" ...
mehr ...
Jahresbericht 2017
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2019/8/14 - 13:04:51
Haftungsausschluss / Datenschutzerklärung