Microsoft hat eine kritische Sicherheitslücke in einigen Windows-Versionen behoben, die zur Erstellung eines leistungsstarken Wurms ausgenutzt werden kann. Die Sicherheitslücke, die unter der Bezeichnung CVE-2019-0708befindet sich in Entfernte Desktop-Dienste. Da das Risiko und die Anfälligkeit "so" hoch sind, hat Microsoft sogar Patches für Windows XP und Windows Server 2003 veröffentlicht, obwohl diese Plattformen seit einem Jahr nicht mehr unterstützt werden (auch wenn sie noch verwendet werden).
Dieser Beitrag enthält Auszüge aus dem CSO Online-Artikel "Microsoft drängt Windows-Kunden zum Patchen der wurmstichigen RDP-Schwachstelle". Den vollständigen Artikel lesen hier.
Was die Schwachstelle so gefährlich macht, ist die Tatsache, dass sie aus der Ferne und ohne Authentifizierung oder Benutzerinteraktion ausgenutzt werden kann, indem einfach eine böswillig gestaltete RDP-Anfrage an ein anfälliges System gesendet wird. Ein erfolgreicher Angriff kann dazu führen, dass bösartiger Code mit vollen Benutzerrechten auf dem System ausgeführt wird, so dass Angreifer Programme installieren, Benutzerdaten ändern oder löschen und sogar neue Konten erstellen können.
Mit anderen Worten: Die Schwachstelle ist "wurmfähig", d. h., künftige Malware, die diese Schwachstelle ausnutzt, könnte sich von anfälligem Computer zu anfälligem Computer ausbreiten, und zwar auf ähnliche Weise wie die WannaCry Malware verbreitete sich 2017 weltweit", so Simon Pope, Director of Incident Response beim Microsoft Security Response Center, in einer Blog-Beitrag.
"Obwohl wir keine Ausnutzung dieser Schwachstelle beobachtet haben, ist es sehr wahrscheinlich, dass böswillige Akteure einen Exploit für diese Schwachstelle schreiben und ihn in ihre Malware einbauen werden.
RDP war in der Vergangenheit ein beliebter Infektionsvektor für Malware-Bedrohungen, insbesondere für Ransomware, Krypto-Miner und Point-of-Sale-Speicher-Scraper. Angreifer stehlen in der Regel RDP-Anmeldedaten oder erzwingen sie, um Zugang zu Systemen zu erhalten. Leider sind zu viele RDP-Umgebungen nicht richtig abgesichert, wie Awingu-Forschungen im Jahr 2018 gezeigt haben (z. B. Belgien, Italien, Schweden).
Auswirkungen auf die legacy-Plattformen
Die Sicherheitslücke betrifft Remote Desktop-Dienste in Windows 7, Windows Server 2008 R2 und Windows Server 2008 sowie in legacy-Windows-Versionen, die das Ende ihrer Lebensdauer erreicht haben. Zusätzlich zu den unterstützten Windows-Versionen hat Microsoft beschlossen, die Sicherheits-Updates für Windows XP, Windows XP Embedded und Windows Server 2003, wahrscheinlich weil diese Windows-Versionen in legacy-Umgebungen und auf speziellen Geräten wie Geldautomaten, medizinischen Geräten, Selbstbedienungskiosken, Kassenterminals und mehr noch weit verbreitet sind.
Behebung der Schwachstelle mit Awingu und bewährten Verfahren
Mit Awingu erhalten die Benutzer keinen direkten Zugriff auf die RDP-Infrastruktur. Alles läuft über eine sichere Verbindung im Browser. Daher stellen viele der RDP-Schwachstellen kein so großes Risiko dar. Es ist jedoch ratsam, die Systeme so bald wie möglich mit dem entsprechenden Patch zu aktualisieren. Microsoft rät darüber hinaus zu Folgendem:
- Deaktivieren Sie die Remote Desktop-Dienste, wenn sie nicht benötigt werden. Wenn Sie diese Dienste auf Ihrem System nicht mehr benötigen, sollten Sie sie als bewährte Sicherheitsmethode deaktivieren. Die Deaktivierung nicht genutzter und nicht benötigter Dienste trägt dazu bei, Ihre Anfälligkeit für Sicherheitslücken zu verringern.
- Aktivieren Sie die Authentifizierung auf Netzwerkebene (NLA) auf Systemen mit unterstützten Editionen von Windows 7, Windows Server 2008 und Windows Server 2008 R2
- Sperren Sie den TCP-Port 3389 an der Firewall des Unternehmens, um Angriffe aus dem Internet zu verhindern. (Im Falle von Awingu ist 3389 nicht erforderlich. Der Internetzugang erfolgt über Port 443 (https))
Möchten Sie mehr erfahren und Awingu in Aktion sehen? Nehmen Sie Kontakt mit uns auf!
English 
Italian 
German 
Spanish 
French