Beiträge

Microsoft warnt vor dem Super-Wurm

Die nächste große Virenpandemie steht offenbar kurz bevor: Unzählige Windows-Rechner sind für die hochgefährliche Lücke im RDP-Server anfällig.

Die nächste schwerwiegende Virenpandemie steht anscheinend kurz bevor: Fast eine Million Systeme sind über das Internet durch die kritische Lücke in den Remote Desktop Services (RDP) von Windows angreifbar. Das hat eine Analyse des Security-Experten Robert Graham ergeben. Microsoft nimmt dies zum Anlass, erneut zur Installation der Sicherheits-Updates zu mahnen.

Graham überprüfte mit seinem Portscanner masscan sämtliche IPv4-Adressen und stieß dabei auf rund 950.000 Systeme, auf denen eine ungepatchte Version des RDP-Servers von Windows läuft. In den Systemen klafft die kritische Sicherheitslücke CVE-2019-0708, die Microsoft an seinem Mai-Patchday geschlossen hat. Da der Security-Experte ausschließlich Rechner untersuchen konnte, die direkt über das Internet erreichbar sind, dürfte die Gesamtzahl der verwundbaren Systeme erheblich größer sein.

Es droht ein neues WannaCry
Die Schwachstelle ist sehr gefährlich, da ein Angreifer sie ausnutzen kann, um Code aus der Ferne einzuschleusen. Sie ist ein ideales Schlupfloch für Würmer, die sich selbstständig von einem verwundbaren System auf das nächste verbreiten. Auf diese Weise erwischt ein Wurm auch Rechner, die nicht direkt über das Internet erreichbar sind. Es genügt ein infizierter PC im Netz, um ein gesamtes Firmennetz lahm zu legen.

Dass dies keine theoretische Gefahr ist, zeigt ein Rückblick in das Jahr 2017, in dem der WannaCry-Wurm bereits nach drei Tagen hunderttausende Rechner befallen hatte. Insgesamt fand er mehrere Millionen Opfer. Darunter befinden sich viele Unternehmen, denen durch Produktionsausfälle ein erheblicher finanzieller Schaden entstanden ist, der kaum zu beziffern ist.

Microsoft mahnt zum Sicherheits-Update
Microsoft nimmt die alarmierenden Ergebnisse des Sicherheitsforschers zum Anlass, erneut zur Installation der Sicherheits-Updates zu mahnen. Das Unternehmen hatte aufgrund der drohenden Wurmpandemie sogar die alten Windows-Versionen XP und Vista gepatcht, die bereits aus dem Extended Support gefallen sind und keine Updates mehr erhalten.

Auch Microsoft zieht einen Vergleich zu dem verheerenden WannaCry-Ausbruch vor fast genau zwei Jahren und macht darauf aufmerksam, dass die Sicherheits-Patches gegen die damals ausgenutzte EternalBlue-Schwachstelle bereits 60 Tage zur Verfügung standen, bevor der Wurm ausbrach. Dennoch waren unzählige Systeme nicht auf dem aktuellen Stand und wurden von der Pandemie eiskalt erwischt. Der Windows-Hersteller ist sich sicher, dass bereits ein Exploit existiert, der die RDP-Lücke ausnutzt. Einen Wurm hat das Unternehmen bislang noch nicht gesichtet – doch man solle nicht darauf wetten, dass das auch so bleibt. Sicherheitsforscher berichteten bereits Anfang vergangener Woche über funktionsfähige Exploits.

Jetzt handeln!
Wer seine Systeme noch nicht auf den aktuellen Stand gebracht hat, sollte spätestens jetzt handeln. Installieren Sie die über Windows Update angebotenen Sicherheits-Updates auf sämtlichen Systemen – und machen Sie auch Jagd auf etwaige vergessene Windows-Zombies, die noch irgendwo im Netz hängen. Von CVE-2019-0708 betroffen sind alle Windows-Client- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008 – mit Ausnahme von Windows 8 und 10. Patches gibt es sogar für XP und Vista, die eigentlich bereits vom offiziellen Update-Zweig abgeschnitten sind.

Patch-Downloads:

Quelle: Heise.de

Remote Desktop Services Remote Code Execution Vulnerability

CVE-2019-0708 – Remote Desktop Services Remote Code Execution Vulnerability – Diese Schwachstelle weist auf dem CVSS einen Wert von 8,81 auf (Skala 0-10)

Dieser Wert kann bzw. wird noch steigen, weil es bis jetzt für diese Schwachstelle nur einen Proof-of-Concept gibt. Es ist aber nur eine Frage von Tagen, bis ein Exploit bzw. fertige Malware verfügbar ist, die sich als Wurm selbständig im Internet/Netzwerk verbreiten kann und so weitere Rechner mit anfälligem Remotedesktop Service infiziert (Intensität dürfte ähnlich wie beim WannaCry Ausbruch 20172 werden)

Ablauf des Exploits:

  • Angreifer schickt präparierte Pakete übers Internet/Netzwerk an den Zielhost, auf dem der RDP-Dienst auf Port 3389 (Std) läuft
  • Da es sich um eine Pre-Auth Attacke handelt ist keine Interaktion auf Seiten des Zielhosts nötig
  • Nach erfolgreicher Ausführung kann der Angreifer mit erhöhten Rechten beliebigen Code auf dem Zielhost ausführen (Dateien ausführen, verändern, Benutzerkonten anlegen, weiter auf das Netzwerk hinter dem Zielhost zugreifen …)

Dieser Ablauf funktioniert bei folgenden Voraussetzungen:

  • Zielhost ist aus dem Internet erreichbar
  • RDP läuft auf Standard-Port (3389)
  • NLA (Network Level Authentication) ist nicht aktiv (Diese würde dafür sorgen, dass sich der Benutzer vor dem Aufbau der Remoteverbindung erfolgreich auf dem Zielhost authentifizieren müsste)

Schutzmaßnahmen – Eine schnelle Abhilfe würde durch diese Aktionen auf den Zielhosts erreicht werden:

  • NLA aktivieren
  • Standard-Port ändern

Kurz- und mittelfristig sollte natürlich ein Update vom Hersteller, dass seit 14.05.2019 auf der Webseite verfügbar ist, eingespielt werden. KB4499175 für Server 2008R2 behebt diese Sicherheitslücke mit einem Patch, der ca. 100MB groß ist.

 

Mögliche Probleme:

Wenn nur das Security Update eingespielt werden soll, ist eine vorherige Installation von KB4498206 nötig. Außerdem ist noch nicht klar, inwieweit die SHA2-Signierung von Update Paketen, die
Microsoft für das erste Halbjahr 2019 geplant hat, Probleme verursachen kann (Hintergrund: Microsoft stellt die Signierung seiner Update-Pakete von SHA1 auf SHA2 um und Hosts, die diese Funktionalität (noch) nicht implementiert haben könnten beim Update Schwierigkeiten haben).

 

Sonstige Quellen:

• Meldung Microsoft:  https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
• Update für Windows 7 / Server 2008(R2):  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708