Am 13. AugustthBlueKeep (CVE-2019-0708) - die RDP-Schwachstelle, über die wir in unser vorheriger Blogposthat wieder zugeschlagen. Die beiden neuen wurmfähigen Schwachstellen heißen BlueKeep II & III (oder, wie manche sie spöttisch nennen,DejaBlue'). Im Gegensatz zu ihren Vorgängern betreffen sie alle Windows-Versionen (einschließlich Server) ab Windows 7 und höher. Sowohl Microsoft als auch Sicherheitsexperten raten dringend dazu, System-Patches als Priorität auf die To-Do-Liste von Systemadministratoren zu setzen.
Was ist DejaBlue?
Im Gegensatz zur Entdeckung von BlueKeep I durch das GCHQ wurden diese Sicherheitslücken von Microsofts eigenen Sicherheitsteams entdeckt und sind in der Microsoft Security Response Center:
Diese einzelnen Schwachstellen können von böswilligen Organisationen ausgenutzt werden, um anfällige Systeme ohne jegliche Authentifizierung zu kapern. Kurz gesagt, es wird ein Code-Paket über das Netz gesendet, das sofortigen Zugriff auf das System ermöglicht, ohne dass eine Anmeldung erforderlich ist. Außerdem kann sich die Schwachstelle ohne jegliche Benutzerinteraktion auf mehrere andere verbundene Systeme oder Computer ausbreiten, so dass es sich um einen Wurmangriff handelt.
Da es sich um Fehler bei der Remotecode-Ausführung in RDS handelt, reicht es aus, sich im selben Netzwerk wie ein ungepatchter Rechner zu befinden, um ihn zu übernehmen. Noch schlimmer ist es, wenn der RDP-Endpunkt öffentlich zugänglich ist (was wir sehr dringend abraten) Es muss lediglich aus der Ferne erreicht werden, um Schaden anzurichten. Ein angegriffenes System kann Hackern die Möglichkeit geben, Daten zu stehlen, zu löschen oder zu verändern sowie (feindliche) Software zu installieren oder schädlichen Code auszuführen.
Flicken Sie es, bevor es Sie erwischt!
Das "ursprüngliche" BlueKeep betraf ältere Versionen von Remote Desktop Services, einschließlich legacy-Systeme, die das Ende ihrer Lebensdauer erreicht haben. BlueKeep II und III bedeuten jedoch Ärger für neuere Systeme: "Die betroffenen Windows-Versionen sind Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2," sagt Simon Pope (Director of Incident Response, MSRC), "und alle unterstützten Versionen von Windows 10, einschließlich Server-Versionen".
Sicherheitsexperten empfehlen zwei Dinge:
-
-
- Patchen Sie Ihre Systeme so schnell wie möglich, denn der neueste Windows-Patch verhindert, dass diese Ausnutzung möglich ist. Windows bietet standardmäßig automatische Updates an, aber diejenigen, die dies deaktiviert haben, sollten die dieser Patch
- Aktivieren Sie Network Level Authentication (NLA). "Die betroffenen Systeme sind gegen "wurmfähige" Malware oder fortgeschrittene Malware-Bedrohungen, die die Schwachstelle ausnutzen könnten, geschützt", sagt Pope, "da NLA eine Authentifizierung erfordert, bevor die Schwachstelle ausgelöst werden kann".
-
Vermeiden Sie RDP-Schwachstellen mit Awingu
Wie BlueKeep I kann Awingu Ihnen dabei helfen, sich gegen diese Art von Sicherheitslücken abzuschirmen. Der RDP-Zugang, vorausgesetzt, er ist nicht öffentlich, wird nicht von der Maschine aus hergestellt, sondern über HTTP über einen Browser. Mit anderen Worten: Der betroffene Rechner greift nicht direkt auf die RDP-Infrastruktur zu, sondern die Awingu-Appliance tut dies an seiner Stelle. Das bedeutet, dass Ihr RDP nicht öffentlich zugänglich sein muss, um von jedem Ort und über jedes Gerät eine Verbindung zu Ihrem Windows App Server herzustellen.
In diesem Fall verhält sich Awingu wie eine Firewall: Es mindert das Risiko, dass Angreifer auf Ihren RDP-Endpunkt zugreifen und den Angriff initiieren. Mit den richtigen Maßnahmen wird Awingu zum einzigen Zugangspunkt zu Ihrer Infrastruktur, und seine umfassenden Sicherheitsmaßnahmen (einschließlich integrierter MFA) halten alle externen böswilligen Einheiten fern. Dennoch sollten Sie Ihr System immer mit den neuesten Patches aktualisieren, um sich vor gängigen Angriffen zu schützen.
English 
Italian 
German 
Spanish 
French