NSA ESTEEMAUDIT Exploit: Patch für Windows XP/Server 2003

Eine Sicherheitsfirma hat einen Patch für Windows XP und Windows Server 2003 veröffentlicht, so dass der NSA-Exploit ESTEEMAUDIT auf dieser Betriebssystemplattform nicht mehr ausgenutzt werden kann.


Anzeige

Das von Microsoft nicht mehr unterstützt Windows XP rückt aktuell wieder in den Fokus in Punkto Sicherheit. Laut netmarketshare.de liegt der Nutzungsanteil Anfang Mai 2017 noch bei 7,04 %. Der Befall zahlreicher Computer mit dem Wannacrypt-Trojaner (siehe Ransomware WannaCry befällt tausende Computer weltweit) hat Microsoft bewogen, ein Sonderupdate zum Schließen der SMBv1-Lücke in Windows XP herauszugeben (siehe WannaCrypt: Updates für Windows XP, Server 2003 & Co.). Aber es gibt weitere, ungeschlossene Sicherheitslücken, wie EsteemAudit.

NSA-Exploit ESTEEMAUDIT Insides

Bei EsteemAudit handelt es sich um eine Zero-day Sicherheitslücke in RDP. Das Protokoll wird in Windows verwendet, um Desktop-Sitzungen auf Remote-Computern zu öffnen. Ein Exploit in diesem Bereich ermöglicht es Angreifern per Netzwerk auf die Rechner zuzugreifen. Eine Analyse von fortinet ermöglicht es, über offene RDP-Ports auf Rechner im Netzwerk zuzugreifen.

Erklärung von Microsoft zu ESTEEMAUDIT

Nachdem die Hackergruppe Shadow Broker am 14. April 2017 eine Reihe NSA-Hacker-Tools und Informationen zu Exploits freigegeben hatten, gab es von Microsoft ja eine Entwarnung. Ich hatte im Artikel Shadow Browker: Geleakte NSA-Tools weitgehend unwirksam auf die Microsoft-Details hingewiesen. Der EsteemAudit-Exploit soll nur unter Windows XP und Windows Server 2003 funktionieren. Laut Microsoft bekommen Windows XP und Windows Server 2003 aber keinen Patch für EsteemAudit, da beide Systeme (2014 und 2015) aus dem Support herausgefallen seien.

Patch für NSA-Exploit ESTEEMAUDIT

Das hat die Sicherheitsfirma enSilo bewogen, einen Patch für Windows XP und Windows Server 2003 zu entwickeln, welches die Angriffsmöglichkeit auf den genannten Betriebssystemen beseitigt. Dies geht aus diesem Blog-Beitrag von ensilo hervor. Der Patch von enSilo wird auf dieser Webseite angeboten und funktioniert unter Windows XP SP3 x86, Windows XP SP3 x64, und Windows Server 2003 R2. Die Leute schreiben:

Upon login for each session, Windows will create a new instance of winlogon. The patch will be loaded into winlogon.exe (only if it is an RDP session) to perform in memory patching (hotpatching) of ESTEEMAUDIT. Any attempt to use ESTEEMAUDIT to infect the patched machine will inevitably fail.

The patch is installed by an installation program after accepting the terms of usage. The installation program will support uninstallation by signaling an event (which will remove the patch in memory) and then unregistering the patch from loading into all subsequent RDP sessions.

Wer also System mit Windows XP und/oder Windows Server 2003 betreibt, sollte sich den Hotfix besorgen und einspielen.

Spannend bleibt nun die Frage, ob Microsoft zahlenden Kunden einen Patch für Windows XP oder Windows Server 2003 entwickelt hat. Spätestens, wenn es einen Angriff über diese Lücke gibt, werden wir sehen, ob Microsoft da was allgemein zur Verfügung stellt.  (via)

Ähnliche Artikel:
Windows XP: Sicherheits-Update KB982316 (5.2017)
Wannycry: WCry-Decryptor für Windows XP
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
Windows XP und Uralt-Computer kontrollieren Atomarsenale
Abgesang auf 15 Jahre Windows XP …
Nachgefragt: Wie geht's und steht's mit Windows XP?
Windows XP in Medizingeräten als Sicherheitsrisiko
Londons Polizei nutzt noch 27.000 Windows XP-Systeme
Ransomware WannaCry befällt tausende Computer weltweit


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu NSA ESTEEMAUDIT Exploit: Patch für Windows XP/Server 2003

  1. Geronimo:) sagt:

    Hallo, war ja wieder klar, man muß sich registrieren, um den Patch zu bekommen.
    Das will ich aber nicht. Man bekommt dann ja doch nur wieder Werbung oder anderen Müll auf den Rechner gekippt.
    Wenn dieser Patch so wichtig ist, könnten Sie ihn auch ohne Registrierung freigeben.
    Also werde ich erst mal abwarten, was da noch so von Microsoft kommt.
    Und apropos Patch. Da stellt irgend eine Firma einen Patch für ein Betriebssystem der Firma Microsoft ins Internet, welches möglicherweise auch noch tief ins Betriebssystem eingreift!!!
    Dürfen die das ???

    Gruß Geronimo:)

  2. Kim O. Fee sagt:

    Interessehalber habe ich mir den Patch (per Minute-Mail/Tails/Tor-Netzwerk/auf einen geschützten Stick – Vorsicht ist der Schwager der Bananenschale …) heruntergeladen und auf einer ausrangierten XP/x32/SP3-Möhre installiert (Installer-Datei: ExternalAuditPatchInstaller.exe, 3,777.568 MB, MD5: ea9c82ad53ad5cbbcfd2cf7c74768e3f). Mit der Comodo-Firewall wurden anschließend die Netzwerk-Ports überwacht, ohne das etwas Auffälliges passiert ist (was natürlich nicht so bleiben muss und mangels akutem Angriff auch nichts über die Wirksamkeit des Patches sagt – XP-User werden sicherlich bald mehr darüber erfahren). Leider enthält der Installer keine weiteren technischen Informationen, nur Dateien mit Code und einer Agreement-Erklärung: http://fs5.directupload.net/images/170527/b2yigixx.png

Schreibe einen Kommentar zu Kim O. Fee Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.