NEWS.

„DejaBlue“: Weitere Schwachstellen in Microsofts Remote Desktop Protokoll (RDP)

Nur ein paar Monate nach der Veröffentlichung von CVE-2019-0708 („BlueKeep“) hat Microsoft Patches für vier weitere Schwachstellen zur Verfügung gestellt. Wie zuvor „BlueKeep“ erlauben die Schwachstellen, „DejaBlue“ genannt, das Ausführen von beliebigem Code auf verwundbaren Systemen (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226).

DejaBlue_Kapiteltrenner 1440x340

Nach Einschätzung des BSI sind mindestens zwei der Schwachstellen wurmfähig. Das bedeutet, dass die Malware in der Lage ist, sich selbst ohne weitere User-Interaktion zu verbreiten. Das macht die Schwachstelle so kritisch. Sie kann zu ähnlichen Ausbrüchen wie bei „WannaCry“ oder „NotPetya“ führen, die eine grosse Anzahl von Systemen kompromittiert hatten.

 

Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht einem Angreifer die Ausführung von beliebigem Code mit Administratorrechten auf dem Zielsystem. Hierfür muss der Angreifer lediglich eine speziell formatierte Anfrage an die Remote Desktop Services mittels RDP senden.

 

 

Welche Systeme sind betroffen?

Die Schwachstelle betrifft folgende Windows Systeme, bei denen die Remote Desktop Services – früher Terminal Services – aktiviert sind:

 

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

 

 

Welche Massnahmen sind erforderlich?
  • Es empfiehlt sich, möglichst zeitnah die relevanten Sicherheitsupdates einzuspielen.
     
  • Alternativ können Anwender die Remote Desktop Services deaktivieren, sofern nicht benötigt.
     
  • Als Workaround können Anwender die Network Level Authentication (NLA) aktivieren. Somit ist eine vorherige Authentifizierung mit einem gültigen User Account erforderlich, bevor die Schwachstelle ausgenutzt werden kann.
     
  • Ein weiterer Workaround ist das Blockieren von TCP Port 3389 an der Firewall, wodurch die Systeme hinter der Firewall vor Angriffen geschützt sind. Dies kann helfen, die Systeme vor Angriffen aus dem Internet zu schützen, sie bleiben aber weiterhin verwundbar für Angriffe innerhalb des Netzwerks.

 

IT Security von Bechtle Steffen