IT-Sicherheit 07.06.2019

Update zu „Bluekeep“: Verwandte Schwachstelle aufgetaucht.

Zum Patchday im Mai hat Microsoft eine kritische Lücke im Remote Desktop Protocol (RDP) geschlossen. Von der Schwachstelle, die mittlerweile auch als „Bluekeep“ (CVE-2019-0708) bekannt ist, sind alle Windows Clients und Server Versionen bis einschließlich Windows 7 und Windows Server 2008 R2 betroffen. Nun gibt es neue Entwicklungen. Eine neue, verwandte Schwachstelle wurde gefunden. Wir halten Sie auf dem Laufenden ...

Artikel teilen

In den vergangenen Wochen haben mehrere Einrichtungen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), sowie auch das Computer Emergency Response (CERT) Team Austria, Pressemitteilungen zur Sicherheitslücke veröffentlicht. Darüber hinaus warnt das BSI, dass diese kritische Schwachstelle zu ähnlich verheerenden Angriffen wie jene durch die Ransomware WannaCry führen könnte.

 

Am Donnerstag, 6. Juni 2019, hat das CERT Team der Universität Carnegie Mellon nun eine neue Schwachstelle im RDP Service veröffentlicht (CVE-2019-9510). Davon sind alle Windows Versionen ab Windows 10 (1803) und Windows Server 2019 betroffen.

 

Auswirkung der Schwachstelle.

Das Ausnutzen der Schwachstelle erlaubt einem nicht authentifizierten Angreifer im schlimmsten Fall die vollständige Übernahme des angegriffenen Systems. Mittlerweile ist bekannt, das 950.000 aus dem Internet erreichbare Systeme für diese Schwachstelle anfällig sind. Microsoft rät die Sicherheits-Updates umgehend zu installieren, da die Attacken auch beim verheerenden WannaCry-Ausbruch erst 60 Tage nach Veröffentlichung der Patches starteten.

 

Update zu CVE-2019-9510: Mit Windows 10 (1803) und Windows Server 2019 hat sich die Handhabung von RDP-Sitzungen so verändert, dass es zu einem unerwarteten Verhalten in Bezug auf das Sperren dieser Sitzungen kommen kann. Wenn zum Beispiel durch eine Netzwerkanomalie die RDP-Sitzung temporär getrennt wird, wird diese bei der automatischen Wiederverbindung in einen entsperrten Zustand versetzt – unabhängig davon, wie das entfernte System verlassen wurde. Die Schwachstelle könnte von einem lokalen Angreifer folgendermaßen ausgenutzt werden:

  • Benutzer verbindet sich über RDP mit einem Windows 10 (1803), Windows Server 2019 oder neuerem Betriebssystem.
  • Benutzer sperrt die RDP-Sitzung.
  • Benutzer verlässt seinen Arbeitsplatz und sperrt sein lokales Gerät nicht.
  • Angreifer trennt kurz die Netzwerkverbindung des lokalen Geräts.
  • Durch die automatische Wiederverbindung der RDP-Sitzung, wird diese in einem entsperrten Zustand angezeigt.

Es ist davon auszugehen, dass jegliche Zwei-Faktor-Authentifizierung, die mit dem Windows-Login-Dienst interagiert, wie Duo Security MFA, auch durch diese Schwachstelle umgangen werden kann. Mittlerweile ist auch bekannt, dass die Schwachstelle unabhängig von der Aktivierung der Network Level Authentication (NLA) ausgenutzt werden kann.

 

Einstufung der Schwachstelle.

Bei allen Systemen, die aus dem Internet über RDP (TCP Port 3389) erreichbar sind, ist „Bluekeep“ als besonders kritisch einzustufen. Darüber hinaus sollte aber auch bei betroffenen Systemen, die nur intern über RDP erreichbar sind, das Sicherheitsupdate zeitnah eingespielt werden. Derzeit ist noch kein öffentlicher Exploit aufgetaucht, der diese Schwachstelle erfolgreich ausnutzt. Microsoft geht mittlerweile aber davon aus, dass solch ein Exploit bereits existiert. Auch einige Sicherheitsforscher haben bereits auf diversen Social-Media-Kanälen von funktionsfähigen Exploits berichtet.

 

Update zu CVE-2019-9510: Das CERT-Team stuft die Schwachstelle in Windows 10 (1803) und Windows Server 2019 als mittleres Risiko ein, da sie nur von einem lokalen Angreifer ausgenutzt werden kann. Hingegen stuft das BSI diese Schwachstelle mit hohem Risiko ein.

 

Empfehlung.

 

Besonders bei Systemen, die von extern erreichbar sind, sollte hinterfragt werden ob der RDP-Zugriff wirklich benötigt wird. Wenn ja, sollte umgehend der Sicherheitspatch eingespielt werden. Im nächsten Schritt ist es durchaus sinnvoll den Zugriff auf diese Systeme auf gewissen IP-Bereichen einzuschränken. Als letzter Schritt sollte auch noch die Funktion NLA aktiviert werden. Die Aktivierung von NLA kann über Group Policys (GPOs) ausgerollt werden.

 

Sollte ein Update nicht möglich sein, sollte RDP auf dem System deaktiviert werden. Wenn dies auch nicht möglich ist, sollte NLA umgehend aktiviert werden. Durch die Aktivierung von NLA, kann ein Angriff nur noch von einem authentifizierten Benutzer durchgeführt werden.

 

Die Sicherheitspatches werden für unterstützte Systeme wie gewohnt über das Windows Update verteilt. Bei Systemen, die den Sicherheitspatch nicht über Windows Update beziehen, können diese auch manuell installiert werden. Der Sicherheitspatch für Windows 7, Windows Server 2008 und 2008 R2 kann hier heruntergeladen werden. Den Sicherheitspatch für Windows XP und Server 2003 finden Sie hier. Weitere Informationen finden Sie unter hier.

 

Update CVE-2019-9510: Zum jetzigen Zeitpunkt liegt noch keine Stellungnahme von Microsoft vor. Außerdem ist auch noch nicht bekannt, ob es beim nächsten Patchday einen Patch für diese Schwachstelle geben wird. Bis ein Patch veröffentlicht wird, können folgende Maßnahmen getroffen werden:

  • Deaktivieren von automatischer Wiederverbindung von RDP Sitzungen. Diese Funktion kann über GPOs deaktiviert und ausgerollt werden.
  • Anstatt RDP-Sitzungen nur zu sperren, sollten diese getrennt werden.

Weitere Informationen sind hier abrufbar.

patrick_poetz.png
Patrick Pötz
Security Consultant