WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt inzwischen vor der in allen Windows-Versionen entdeckten und von Microsoft gepatchten Sicherheitlücke in den 'Remote Desktop Services'. Da es aber immer wieder Fragen und Unklarheiten gibt, fasse ich einige Informationen nochmals zusammen.


Anzeige

Ich hatte das Thema zwar bereits im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 für IT-Profis angesprochen. In den letzten Tagen sind mir aber immer wieder Anfragen und Kommentare unter die Augen gekommen, die mit dem Thema wenig anzufangen wussten oder nach diesem oder jenen Update fragten.

Worum geht es genau?

In älteren Windows-Versionen existiert eine kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services. Microsoft schätzt das Potential als so kritisch ein, dass selbst Windows XP gepatcht wird. In einem Sicherheitshinweis geht Microsoft auf die als kritisch eingestufte Schwachstelle ein. CVE-2019-0708 ist eine schwere Remote-Code Execution-Sicherheitslücke (RCE) in den Remote Desktop Services – früher bekannt als Terminal Services.

Schickt ein Angreifer eine speziell präparierte RDP-Anfrage an die Zielmaschine, kann er alle Authentifizierungen umgehen und erhält Zugriff auf die Remote Desktop Services dieses Systems. Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte nun beliebigen Code auf dem Zielsystem ausführen. Oder es besteht die Möglichkeit Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen. Weiterhin lassen sich neue Konten mit vollen Benutzerrechten erstellen. Der Angreifer bekommt also vollen Zugriff auf die verwundbaren Systeme und kann diese unter Kontrolle bringen.

Warum warnt das BSI?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist in einer Meldung auf die in allen Microsoft Windows Betriebssystemen bestehende kritische Schwachstelle im 'Remote-Desktop-Protocol-Dienst RDP' hin (Microsoft spricht dagegen von einer Schwachstelle in den Remote Desktop Services). Aber diese Feinheit ist an dieser Stelle egal. Grund für die Warnung des BSI: Die Schwachstelle ist aus der Ferne und ohne Zutun des Nutzers ausnutzbar und ermöglicht daher einen Angriff mit Schadsoftware, die sich wurmartig selbstständig weiterverbreitet.

Auch Microsoft stuft die Schwachstelle als äußerst kritisch ein, da Angreifer vollen Zugriff auf die verwundbaren Systeme erhalten und diese faktisch unter Kontrolle bringen können. Es werden WannaCry-ähnliche Angriffe wie in 2017 befürchtet, die vor allem in Industrieumgebungen große Schäden anrichten können.

WannaCry-Meldung

Zum Hintergrund: Im Jahr 2017 wurde eine vom US-Geheimdienst NSA entdeckte Schwachstelle samt Exploits öffentlich. Cyber-Kriminelle nutzten diese Informationen, um die Erpressungssoftware WannaCry zu erstellen. Microsoft hatte zwar zeitnah Updates für Windows veröffentlicht, die aber nicht in allen Umgebungen installiert wurden. Speziell in Produktionsnetzwerken konnten die Rechner nicht aktualisiert werden.

Im Frühsommer 2017 kam es dann zu einem Ausbruch, bei dem sich die Ransomware WannaCry über ungepatchte Sicherheitslücken in Windows XP und Windows 7 auf Hunderttausenden von Rechnern per Netzwerk verbreiten und dort Dateien verschlüsseln konnte. Ich hatte seinerzeit im Blog-Beitrag Ransomware WannaCry befällt tausende Computer weltweit über die ersten Vorfälle berichtet. Selbst in der Folgezeit kam es weltweit zu neuen Infektionen bei Daimler oder beim taiwanesischen Chip-Hersteller TSMC. Genau dieses Szenario wird vom BSI befürchtet und dort empfiehlt man allen Windows-Nutzern ein dringendes Update. BSI-Präsident Arne Schönbohm sagt dazu:


Anzeige

  "Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit WannaCry erleben mussten. Windows-Anwender sollten daher die vorhandenen Updates umgehend installieren, bevor es zu größeren Schäden kommt. Das BSI stellt derzeit eine Vielzahl an kritischen Schwachstellen fest, nicht zuletzt in aktueller Chip-Hardware. Es zeigt sich erneut, wie wichtig Software-Qualität ist und welche Bedeutung security-by-design und security-by-default einnehmen müssen. Durch die zunehmende Digitalisierung wird sich unsere Welt immer stärker vernetzen und damit werden auch die digitalen Abhängigkeiten zunehmen. Ein wurmartiger Angriff kann daher weltweit zu massiven wirtschaftlichen Schäden führen. Umso wichtiger ist es, IT-Sicherheit strukturell in Unternehmen und Organisationen umzusetzen. Die Allianz für Cyber-Sicherheit des BSI ist für Unternehmen und Organisationen jeder Größe daher die richtige Anlaufstelle."

Das BSI stuft diese Schwachstelle als kritisch ein. Zwar ist der Dienst 'Remote Desktop Services' laut BSI in der Regel nicht als aktiv voreingestellt, für eine hohe Anzahl von Servern wird der Dienst aber für die Fernwartung verwendet – und dies teilweise über das Internet. Dadurch ist für das BSI ein Szenario denkbar, das der Ausbreitung von Wannacry gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware automatisiert über das Internet verbreiten kann.

Eine aktive Ausnutzung der Schwachstelle konnte das BSI bislang nicht feststellen. Mit der Veröffentlichung der Schwachstelle ist aber nun davon auszugehen, dass Angreifer sehr schnell entsprechende Schadsoftware entwickeln.

Das BSI rät, die von Microsoft zur Verfügung gestellten Updates unverzüglich einzuspielen. In Produktivnetzen von Unternehmen sollten gegebenenfalls zunächst entsprechende Tests durchgeführt werden. Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die herstellerseitig nicht mehr unterstützt werden, aus individuellen Gründen noch Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die Updates manuell heruntergeladen und installiert werden.

Wenn kein Bedarf besteht, den RDP-Dienst zu nutzen, dann sollte dieser deaktiviert sein. Wenn RDP eingesetzt wird, sollten Verbindungen von außen auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.

Diese Windows-Versionen sind betroffen

Diese kritische Schwachstelle existiert in älteren Windows-Versionen, wobei einige dieser Versionen längst aus dem Support gefallen sind. Hier die Liste der betroffenen Windows-Versionen samt den verfügbaren Updates:

Windows-Version Updates
Windows XP SP3
gilt auch für Windows XP Embedded, Windows Embedded POSReady 2009 und Windows Embedded Standard 2009
Download KB4500331 aus dem Windows Update Catalog, siehe KB4500331
Windows Server 2003 SP2 Download KB4500331 aus dem Windows Update Catalog, siehe KB4500331
Windows Vista Download KB4499149 (Monthly Rollup) für Windows Server 2008 aus dem Windows Update Catalog. Oder Download KB4499180 (Security only) für Windows Server 2008 aus dem Windows Update Catalog. Siehe auch 4343218
Windows 7 Automatisches Update KB4499164 (Monthly Rollup) oder KB4499175 (Security only) ggf. per WSUS oder als Download aus dem Microsoft Update Catalog.
Windows Server 2008 SP2 Automatisches Update (Monthly Rollup) oder Download KB4499149 (Monthly Rollup) für Windows Server 2008 aus dem Windows Update Catalog. Oder Download KB4499180 (Security only) für Windows Server 2008 aus dem Windows Update Catalog. Siehe auch 4343218.
Windows Server 2008 R2 Automatisches Update KB4499164 (Monthly Rollup) oder KB4499175 (Security only) ggf. per WSUS oder als Download aus dem Microsoft Update Catalog.

Anmerkungen: Für die noch im Support befindlichen Betriebssysteme Windows 7 SP1, Windows Server 2008 und Windows Server 2008 R2 wird der Patch zum Schließen der kritischen Schwachstelle mit den regulären Monthly Rollup Updates per Windows Update bereitgestellt. In WSUS-Umgebungen kann der Patch auch per Security Only-Updates ausgeliefert oder aus dem Microsoft Update Catalog heruntergeladen werden. Die betreffenden KB-Nummern sind im Sicherheitshinweis für CVE-2019-0708 aufgeführt.

Für die älteren Windows-Versionen wie Windows XP, Windows Server 2003 oder Windows XP Embedded/POS Ready 2009 etc. muss das betreffende Update über den Microsoft Update Catalog heruntergeladen und manuell installiert werden.

Windows Vista ist ebenfalls angreifbar, taucht aber nicht im Microsoft Update Catalog auf. Hier besteht der Trick darin, die Sicherheitsupdates für Windows Server 2008 (Monthly Rollup KB4499149, Security Only KB4499180) aus dem Microsoft Update Catalog herunterzuladen und dann manuell zu installieren. Denn Windows Vista und Windows Server 2008 verwenden die gleiche Codebasis.

Systeme ab Windows 8 sind dagegen nicht betroffen, da dort die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden ist.

Vielleicht helfen die Informationen auch weniger erfahrenen Nutzern weiter.

Ähnliche Artikel:
Zombieload: Neue Schwachstelle in Intel-CPUs
Patchday: Updates für Windows 7/8.1/Server (14. Mai 2019)
Patchday Windows 10-Updates (14. Mai 2019)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 7, Windows 8.1 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows

  1. Mara sagt:

    Frage: RDP ist "Remotedesktopdienste" ? Und als solcher in der Liste der Dienste aufgeführt. Wenn ich den Deaktiviere bin ich dann auf der sicheren Seite?
    Grüssle, Mara

    • AlexJ sagt:

      Ja, aber es genügt auch rechter klick auf system und dann remote dort häckchen weg. Fertig.

      • Mara sagt:

        Super, danke!! Hatte die Remotefunktion von Anfang an schon abgeschaltet. Ich wusste nur nicht, ob ich bei Win7 bei den Diensten auch noch was Deaktivieren muß. Da hab ich die Funktion jetzt von Manuell auf deaktiviert gestellt. Kann ich mir dieses Update Gedöns also sparen :O)
        Grüssle, Mara

Schreibe einen Kommentar zu Mara Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.