Remote Desktop Services Remote Code Execution Vulnerability

CVE-2019-0708 – Remote Desktop Services Remote Code Execution Vulnerability – Diese Schwachstelle weist auf dem CVSS einen Wert von 8,81 auf (Skala 0-10)

Dieser Wert kann bzw. wird noch steigen, weil es bis jetzt für diese Schwachstelle nur einen Proof-of-Concept gibt. Es ist aber nur eine Frage von Tagen, bis ein Exploit bzw. fertige Malware verfügbar ist, die sich als Wurm selbständig im Internet/Netzwerk verbreiten kann und so weitere Rechner mit anfälligem Remotedesktop Service infiziert (Intensität dürfte ähnlich wie beim WannaCry Ausbruch 20172 werden)

Ablauf des Exploits:

  • Angreifer schickt präparierte Pakete übers Internet/Netzwerk an den Zielhost, auf dem der RDP-Dienst auf Port 3389 (Std) läuft
  • Da es sich um eine Pre-Auth Attacke handelt ist keine Interaktion auf Seiten des Zielhosts nötig
  • Nach erfolgreicher Ausführung kann der Angreifer mit erhöhten Rechten beliebigen Code auf dem Zielhost ausführen (Dateien ausführen, verändern, Benutzerkonten anlegen, weiter auf das Netzwerk hinter dem Zielhost zugreifen …)

Dieser Ablauf funktioniert bei folgenden Voraussetzungen:

  • Zielhost ist aus dem Internet erreichbar
  • RDP läuft auf Standard-Port (3389)
  • NLA (Network Level Authentication) ist nicht aktiv (Diese würde dafür sorgen, dass sich der Benutzer vor dem Aufbau der Remoteverbindung erfolgreich auf dem Zielhost authentifizieren müsste)

Schutzmaßnahmen – Eine schnelle Abhilfe würde durch diese Aktionen auf den Zielhosts erreicht werden:

  • NLA aktivieren
  • Standard-Port ändern

Kurz- und mittelfristig sollte natürlich ein Update vom Hersteller, dass seit 14.05.2019 auf der Webseite verfügbar ist, eingespielt werden. KB4499175 für Server 2008R2 behebt diese Sicherheitslücke mit einem Patch, der ca. 100MB groß ist.

 

Mögliche Probleme:

Wenn nur das Security Update eingespielt werden soll, ist eine vorherige Installation von KB4498206 nötig. Außerdem ist noch nicht klar, inwieweit die SHA2-Signierung von Update Paketen, die
Microsoft für das erste Halbjahr 2019 geplant hat, Probleme verursachen kann (Hintergrund: Microsoft stellt die Signierung seiner Update-Pakete von SHA1 auf SHA2 um und Hosts, die diese Funktionalität (noch) nicht implementiert haben könnten beim Update Schwierigkeiten haben).

 

Sonstige Quellen:

• Meldung Microsoft:  https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
• Update für Windows 7 / Server 2008(R2):  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708