[Windows/RDP] Gravierende Sicherheitslücke DejaBlue im Windows-RDP-Dienst
(2019-08-15 09:34:35.526831+00)
Quelle:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181Eine kritische Sicherheitslücke in allen aktuellen Windows Client- und Server-Versionen ermöglicht es, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Die Ausnutzung der Schwachstelle ist automatisierbar. Microsoft stellt Patches für alle betroffenen Betriebssystemversionen bereit. Es wird dringend empfohlen, betroffene Systeme umgehend zu aktualisieren.
Inhalt
Zusammenfassung
| Betroffen: | Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 |
| Nicht betroffen: | Windows 7 Service Pack 1 und Windows Server 2008 R2 Service Pack 1, falls weder RDP 8.0 noch RDP 8.1 installiert ist |
| Plattform: | Microsoft Windows |
| Einfallstor: | Remote Desktop Protokoll |
| Angriffsvoraussetzung: | Zugriff auf das Netzwerk (network) |
| Angriffsvektorklasse: | remote |
| Auswirkung: | Ausführung beliebigen Programmcodes, beliebiger Zugriff auf den beherbergenden Rechner und die dort gespeicherten Daten (system compromise) |
| Typ: | fehlerhafte Eingabeüberprüfung |
| Gefahrenpotential: | sehr hoch (CVSS 9.8) |
| Workaround: | ja |
| Gegenmaßnahmen: | Patch |
| Vulnerability ID: | CVE-2019-1181 CVE-2019-1182 CVE-2019-1222 CVE-2019-1226 |
| Exploit Status: | unbekannt |
Beschreibung
Microsoft warnt vor einer kritischen Sicherheitslücke in aktuellen Windows Client- und Server-Versionen, die es ermöglicht, mithilfe des RDP-Dienstes beliebigen Code auf einem verwundbaren Windows-System auszuführen. Da für die Ausführung des Codes keinerlei Nutzerinteraktion notwendig ist, besteht die Gefahr, dass die Sicherheitslücke zur Verbreitung von Computerwürmern ausgenutzt wird, wie es 2017 bei der Verbreitung von WannaCry über die Schwachstelle EternalBlue im SMB-Protokoll geschehen ist.
Daher stellt Microsoft für alle betroffenen Versionen Patches bereit, die umgehend installiert werden sollten. Grundsätzlich wird empfohlen, RDP nur zu aktivieren, wenn der Dienst wirklich benötigt wird und ihn anderenfalls zu deaktivieren.
Workaround
- Deaktivierung von RDP, wenn nicht benötigt
- Aktivierung der Network Level Authentication (NLA)
Gegenmaßnahmen
- Umgehende Aktualisierung (Update) betroffener Systeme
Exploit Status
- Die Sicherheitslücke wurde von Microsoft selbst entdeckt; es ist unklar, ob bereits ein Exploit existiert.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1758