[Windows/RDP] Gravierende Sicherheitslücke BlueKeep im Windows-RDP-Dienst
(2019-06-13 16:05:18.104056+00)
Quelle:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708Eine kritische Sicherheitslücke in älteren Windows Client- und Server-Versionen ermöglicht es, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Die Ausnutzung der Schwachstelle ist automatisierbar. Microsoft stellt Patches für alle betroffenen gewarteten Betriebssystemversionen sowie für Windows XP und Server 2003 bereit. Es wird dringend empfohlen, betroffene Systeme umgehend zu aktualisieren.
Inhalt
Zusammenfassung
| Betroffen: | Windows XP, Windows 7, Windows Server 2003/2008/2008 R2 |
| Plattform: | Microsoft Windows |
| Einfallstor: | Remote Desktop Protokoll |
| Angriffsvoraussetzung: | Zugriff auf das Netzwerk (network) |
| Angriffsvektorklasse: | remote |
| Auswirkung: | Ausführung beliebigen Programmcodes, beliebiger Zugriff auf den beherbergenden Rechner und die dort gespeicherten Daten (system compromise) |
| Typ: | fehlerhafte Eingabeüberprüfung |
| Gefahrenpotential: | sehr hoch (CVSS 9.8) |
| Workaround: | ja |
| Gegenmaßnahmen: | Patch |
| Vulnerability ID: | CVE-2019-0708 |
| Exploit Status: | proof of concept |
Beschreibung
Microsoft warnt vor einer kritischen Sicherheitslücke in älteren Windows Client- und Server-Versionen, die es ermöglicht, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Da für die Ausführung des Codes keinerlei Nutzerinteraktion notwendig ist, besteht die Gefahr, dass die Sicherheitslücke zur Verbreitung von Computerwürmern ausgenutzt wird, wie es 2017 bei der Verbreitung von WannaCry über die Schwachstelle EternalBlue im SMB-Protokoll geschehen ist.
Daher stellt Microsoft für alle betroffenen Versionen Patches bereit. Auch für die nicht mehr unterstützten Versionen Windows XP und Server 2003 werden ausnahmsweise Patches bereitgestellt. Allerdings müssen die Patches für diese beiden Versionen manuell heruntergeladen und installiert werden. Grundsätzlich wird empfohlen, RDP nur zu aktivieren, wenn der Dienst wirklich benötigt wird und ihn anderenfalls zu deaktivieren.
Workaround
- Deaktivierung von RDP, wenn nicht benötigt
- Aktivierung der Network Level Authentication (NLA)
Gegenmaßnahmen
- Umgehende Aktualisierung (Update) betroffener Systeme
- XP und Server 2003: Manuelle Installation eines Patches
Exploit Status
- Die Existenz eines Proof-of-Concept ist bestätigt.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1756