CredSSP-Sicherheitslücke in RDP unter Windows

Publiziert am 15. März 2018 von Günter Born

In den Remote Desktop Protokollen (RDP) von Windows wurde eine kritische Sicherheitslücke entdeckt, die alle Windows-Versionen betrifft. Die Sicherheitslücke ermöglicht Remote-Angreifern, RDP und WinRM zum Stehlen von Daten oder zum Ausführen von Malware zu nutzen.

Anzeige

Konkret steckt die kritische Sicherheitslücke Credential Security Support Provider-Protokoll (CredSSP), das in allen bisherigen Versionen von Windows verwendet wird. Denn das CredSSP-Protokoll wurde für die Verwendung durch RDP (Remote Desktop Protocol) und Windows Remote Management (WinRM) entwickelt. Das Protokoll übernimmt die sichere Weiterleitung der vom Windows-Client verschlüsselten Anmeldeinformationen an die Zielserver zur Remote-Authentifizierung.

Sicherheitslücke CVE-2018-0886 in CredSSP

Forscher der Cybersecurity-Firma Preempt Security haben einen logischen kryptographischen Fehler in CredSSP entdeckt und in CVE-2018-0886 beschrieben. In diesem Blog-Beitrag gehen die Sicherheitsforscher auf die Probleme ein.

CredSS-Angriff
(Quelle)

Ein Angreifer mit Zugang zum Netzwerk (z.B. WiFi)  kann einen Man-in-the-Middle-Angriff starten. Die Angreifer können eine länger bekannte Angriffsmethode, die als
Address Resolution Protocol (ARP) Poisoning bezeichnet wird, verwenden. Viele Netzwerke sind immer noch nicht zu 100% vor ARP-Angriffen geschützt.

Im konkreten Fall erhält der Angreifer, der sich als Man-in-the-Middle etabliert hat, und Kontrolle über einen Rechner erlangt, alle Rechner im selben Netzwerksegment über die Sicherheitslücke infizieren kann. Dies ermöglicht das Abgreifen sensibler Informationen von Servern (einschließlich Domänencontroller) oder das Installieren von Malware.

(Quelle: YouTube)

Enthält das Netzwerk einige anfällige Router/Switches (z.B. für CVE-2018-0101, das die Ausführung von Remote-Code auf einigen Cisco-Routern ermöglicht), kann es relativ einfach sein, kritischen Server im Netzwerksegment zu infizieren. Ein Angreifer infiziert einfach den Router/Switch in der Nähe des Servers und wartet darauf, dass sich ein IT-Administrator mit RDP am Server anmeldet.

Die Sicherheitslücke wurde im August 2017 an das MSRC gemeldet. Microsoft hat mit dem März 2018-Update diese Sicherheitslücke (CVE-2018-0886) in der CredSSP-Implementierung geschlossen. (via)

Anzeige

Ähnliche Artikel:
Adobe Flash Player Update auf Version 29.0.0.113
Windows 7/8.1: Update KB2952664 / KB2976978 wieder im Anflug
Windows 10 V1703: Update KB4092077 und Feature-Updates
Windows 10: Update KB4023057 erneut freigegeben
Microsoft Patchday Summary 13. März 2018
Sicherheits-Updates für Windows 7/8.1 (13. März 2018)
Patchday: Windows 10-Updates 13. März 2018
Microsoft Office Patchday (13. März 2018)
Netzwerkprobleme mit Updates KB4088875 / KB4088878

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu CredSSP-Sicherheitslücke in RDP unter Windows

  1. riedenthied sagt:
    15. März 2018 um 11:05 Uhr

    Na super, dass man das März-Update leider nicht benutzen kann. :-/

    Antworten

Schreibe einen Kommentar zu riedenthied Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.