BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows

[English]Wie steht es eigentlich um die Schwachstelle CVE-2019-0708 in den Windows Remote Desktop Diensten, für die Microsoft am 14. Mai 2019 Updates von Windows XP bis Windows 7 freigegeben hat? Gibt es Exploits? Gibt es Tools, um zu testen, ob eine Umgebung verletzbar ist?


Anzeige

Zum Hintergrund der Schwachstelle CVE-2019-0708

In den Remote Desktop Services – früher bekannt als Terminal Services – besteht eine gravierende Schwachstelle mit der Bezeichnung CVE-2019-0708. Ein nicht authentifizierter Angreifer kann sich über spezielle Anfragen über RDP mit einem Zielsystem verbinden. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.

Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows 7
  • Windows Server 2008
  • Windows Server 2008 R2

Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 veröffentlichte Microsoft ein Sicherheitsupdate für ältere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schließt.

Ich hatte im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 über diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI), die eine ähnliche Gefahr wie bei der Schwachstelle, die für den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows thematisiert. Dort habe ich auch die benötigten Updates zum Patchen der Schwachstelle verlinkt – für nicht so erfahrene Nutzer vielleicht ganz hilfreich.

Wie steht es mit BlueKeep-Exploits?

Der Schwachstelle CVE-2019-0708 wurde inzwischen die Bezeichnung BlueKeep verpasst. Sicherheitsforscher rechneten damit, dass binnen Stunden oder Tagen funktionierende Exploits verfügbar sein werden. Sicherheitsforscher Kevin Beaumont (@GossiTheDog) hat sich dieses Themas angenommen und auf Twitter einige Informationen veröffentlicht. Bis zum Ende letzter Woche gab es keine Anzeichen, dass irgend ein RDP-Exploit praktisch für Angriffe ausgenutzt wurde.

Laut obigem Post vom letzten Sonntag haben Mc Afee und Zerodium funktionsfähige Exploits. Aber diese sind nicht öffentlich bekannt und es gibt auch keine Details dazu.


Anzeige

Bei Kaspersky hat man sich am Thema versucht, und es bisher nur geschafft, mit manipulierten RDP-Nachrichten einen BlueScreen auszulösen, wie obiger Tweet nahelegt. Laut Beaumont gibt es bisher nur einen funktionierenden Exploit auf GitHub, der Rest ist wohl als Fake zu betrachten.

Ein erster Netzwerktest auf BlueKeep-Exploits

Interessant ist wohl, dass das Vulcan Team des chinesischen Sicherheitsanbieters Qihoo 360 ein Remote Scan-Tool entwickelt hat, mit dem sich ein Netzwerk darauf scannen lässt, ob es über die Schwachstelle CVE-2019-0708 über BlueKeep-Exploits angreifbar ist.

Laut obigem Tweet kann dieses Remote Scan-Tool ein Netzwerk auf Anforderung scannen, ohne dass dies einen BlueScreen oder andere Nebenwirkungen auslöst. Aktuell können Interessierte nur eine E-Mail an 360.cn schicken und um einen Netzwerk-Scan nachfragen. Geht aber wohl nur für zahlende Kunden, die des chinesischen mächtig sind. Es scheint also, als ob Netzwerke noch einige Tage von einer BlueKeep-Angriffswelle verschont bleiben – und allgemein verfügbare Test-Tools gibt es wohl auch noch nicht.

Ergänzung: Ich habe gerade gesehen, dass die Kollegen bei Bleeping Computer auch einen Artikel zum Thema gebracht haben. Es scheinen sich jetzt wohl Exploits anzudeuten – aber so richtig läuft das noch nicht an. Patchen sollte man trotzdem – und das obige 360.cn-Angebot zum Netzwerkscan ist dort auch erwähnt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows

  1. 1ST1 sagt:

    Man lässt aber auch gerade ein chinesisches Unternehmen sein Netzwerk scannen…

    • Günter Born sagt:

      Ich bin noch dabei, das alles in einen sauberen Beitrag zu bringen. Die Ausarbeitung stammt von unserem Blog-Leser Karl.

      • 1ST1 sagt:

        Folgendes Ergebnis: Wer alle Migitations einschalten will, auf Client und Server, Intel und AMD, setzt folgende Werte ein:

        Mit HyperThreading aktiviert
        FeatureSettingsOverride = 72
        FeatureSettingsOverrideMask = 3
        MinVmVersionForCpuBasedMitigations = "1.0"

        Ohne HT, nur sinnvoll auf HyperV- und Terminal-Server wenn man auf die zusätzliche Rechenleistung verzichten kann:
        FeatureSettingsOverride = 8264
        FeatureSettingsOverrideMask = 3
        MinVmVersionForCpuBasedMitigations = "1.0"

  2. Rene sagt:

    Gibt es eine Möglichkeit mit NMAP und NSE Files die jeweiligen Clients mit der RDP Schwachstelle zu erkennen?

  3. Marc sagt:

    Von nmap ist mir nichts bekannt, allerdings geht es hiermit: RDPScan von Robert Graham (@ErrataRob)

    Dazu Windows Linux Subsystem aktivieren,

    Download:
    https://github.com/robertdavidgraham/rdpscan

    Scannt relativ schnell.

    ./rdpscan –workers 75 192.168.xx.0/24 > Ergebnisliste.txt

    Marc

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.