Warnung vor Windows-Sicherheitslücke beim Remote Desktop Service!

6. Juni 2019
  • smartcapture

 Warnung vor Windows-Sicherheitslücke bei Remote Desktop Service!

Das Windows Betriebssystem von Microsoft weist eine kritische Schwachstelle im RDP (Remote-Desktop-Protocol-Dienst) auf. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät Nutzern zum sofortigen Update der betroffenen Windows-Clients auf die neueste Version bzw. den Patch umgehend einzuspielen. Hier ermöglicht die Schwachstelle einen Angriff mit Schadsoftware, “die sich wurmartig selbstständig weiterverbreitet,” ähnlich wie bei WannaCry 2017 mit der Erpressermalware. Microsoft hat die Einschätzung der BSI bestätigt, das es sich um eine „wormable“ Sicherheitslücke beim Sicherheitshinweise (CVE-2019-0708) handelt.

„Angreifer sollen die Lücke aus der Ferne und ohne Authentifizierung ausnutzen können. Dafür muss der Angreifer die lediglich präparierte RDP-Anfrage an einen verwundbaren Computer senden. Für eine erfolgreiche Attacke ist ein Mitwirken des Opfers nicht notwendig, die Erreichbarkeit des Systems im Netzwerk ist ausreicht. Bei Erfolg, kann sich die Malware von Computer des Betroffenen wurmartig weiterverbreiten und ganze Netzwerke infizieren“.  heise.de

Auch wenn es laut Microsoft noch keine Attacken gäbe, sollten Admins den Patch dringend installieren. Weitere kritische Schwachstellen, welche mit dem Patch behoben werden finden Sie hier.

Das BSI rät zusätzlich zur Deaktivierung der Remote Desktop Services, falls diese nicht genutzt werden. Ansonsten sollten Verbindungen von außen auf bestimmte Netzbereiche oder Adressen beschränkt und Remote-Desktop-Protocol-(RDP)-Anmeldungen zu Kontrollzwecken protokolliert werden.

Betroffene Systeme sind folgende Versionen von Microsoft Windows:

  • Windows XP, Windows 7 (in allen Varianten)
  • Windows Server 2003, 2008 und 2008R2

Empfehlungen:

Das umgehende Einspielen der Patches, wie es auch die BSI (Bundesamt für Sicherheit in der Informationstechnik) rät. Die Patches sind auch noch unter Umständen für Versionen von Windows verfügbar, die grundsätzlich nicht mehr unterstützt werden.

Des Weiteren gibt es folgende Workarounds, welche von Microsoft erwähnt werden lt. CERT.at:

  • Aktivierung von “Network Level Authentication (NLA)” auf Systemen, die dies unterstützen
  • Blocken von TCP-Traffic auf Port 3389 auf der externen Firewall

Generell empfiehlt CERT.at, wo möglich, die “automatischen Update”-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.

Weiterhin empfehlen wir Backups, sowie einen zuverlässigen Virenschutz bspw. Kaspersky, zu installieren und aktuell zu halten. Wir verweisen auch nochmal auf unseren letzten Beitrag “Das nahenden Support Ende von Windows 7” wo wir das Updaten auf Windows 10 empfehlen.

Kennen Sie schon das Orlando Hot Backup? Das DECOM Netzwerktechnik Team steht Ihnen bei Fragen zum Backup und Virenschutz gerne unter m.kroiss@decom.at und s.moser@decom.at zur Verfügung.