Windows Server: Schwachstelle CVE-2020-0609 im Remote Desktop Gateway

[English]Kleiner Sicherheitshinweis für Administratoren, die den Windows (Essentials) Server 2012 und Windows Server 2016/2019 mit aktivierter Remote Desktop Gateway-Rolle betreiben. Falls der über Port 443 und 3389 für Nutzer erreichbar sein soll, lest die nachfolgenden Hinweise zur RCE-Schwachstelle CVE-2020-0609.


Anzeige

Aktuell herrscht ja 'helle Aufregung' um die von der NSA an Microsoft gemeldete CryptoAPI-Schwachstelle in Windows 10 und Windows Server 2016/2019. Da installiert ihr nach ausgiebigen Tests die betreffenden Updates und gut ist.

CVE-2020-0609 bei Windows Server

Ich bin die Nacht bereits über einen Tweet von Woody Leonhard auf das Thema aufmerksam geworden.

Susan Bradley, die als Admin aktiv ist, hat die Bedeutung der Schwachstelle CVE-2020-0609 sofort erkannt. Sie schreibt zwar von Essentials 2012 Server und höher – es betrifft laut Microsoft aber Windows Server 2012 und höher. Microsoft hat zum 14. Januar 2020 den Sicherheitshinweis CVE-2020-0609 | Windows Remote Desktop Gateway (RD Gateway) Remote Code Execution Vulnerability veröffentlicht.

A remote code execution vulnerability exists in Windows Remote Desktop Gateway (RD Gateway) when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. This vulnerability is pre-authentication and requires no user interaction. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

To exploit this vulnerability, an attacker would need to send a specially crafted request to the target systems RD Gateway via RDP.

The update addresses the vulnerability by correcting how RD Gateway handles connection requests.

Im Windows Remote Desktop Gateway (RD Gateway) gibt es eine Remote Code Execution-Schwachstelle, die von Angreifern ausgenutzt werden kann. Microsoft hat Sicherheitsupdates für die betroffenen Server-Versionen freigegeben.

Mit den Updates sollte die Schwachstelle gepatcht sein – beachtet aber die Hinweise in den Known Issues-Abschnitten der KB-Artikel. Die Windows Server 2008/R2, die am 14.1.2020 das Supportende erreicht haben (und auch der Small Business Server 2011) sind wohl nicht von dieser Schwachstelle betroffen.

Ähnliche Artikel:
Microsoft Office Patchday (7. Januar 2020)
Microsoft Security Update Summary (14. Januar 2020)
Patchday: Updates für Windows 7/8.1/Server (14. Januar 2020)
Patchday Windows 10-Updates (14. Januar 2020)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows Server: Schwachstelle CVE-2020-0609 im Remote Desktop Gateway

  1. Rainer Winkler sagt:

    Gelegentlich ist bei einem Kunden ein speziell für Scanner (Multifunktionsgeräte) angelegtes Konto deaktiviert. Über diesen Fehler berichtete ich schon am 13.03.2017. Da das langsam nervt und der damalige Workaround mit Aus- und Einschalten aller MFGs nicht funktionierte, musste ich mehr in die Tiefe gehen. Mittels ADSI-Edit auf dem Server kontrollierte ich, wann die letzten Kontosperren erfolgten, parallel dazu filterte ich das Sicherheits-Ereignisprotokoll nach ID 4740. Ich erschrak, wie oft mehrere AD-Konten gesperrt waren (insbesondere die Konten Domänen-Administrator, admin als Ersatz-Administrator und das spezielle Scanner-Konto, aber auch einige andere AD-Konten. Zunächst schaltete ich am Wochenende per Fernwartung (shutdown.exe vom Server aus) alle noch laufenden Clients aus, sodass nur noch der Server übrigblieb. Dennoch gab es insbesondere auf den Administrator erfolglose Anmeldeversuche. Die Quelle war unbekannt (!) im Gegensatz zu erfolgreichen Anmeldeversuchen, wo der Computer aufgeführt wird, von dem die Anmeldung erfolgte; auch erfolgreiche Anmeldungen über rdp werden incl. der aufrufenden IP-Adresse protokolliert (ID 4778). Ich tappe im Finstern, muss wohl mal ein Wochenende vor Ort verbringen bei abgeklemmter Internet-Verbindung (wobei ausschließlich rdp nach innen geroutet wird, und das auch nur mit verbogenem Port). Allerdings ist auch nicht ganz ausgeschlossen, dass jemand einen Dienst installiert hat mit einer falschen Anmeldung; dafür sind aber die fehlerhaften Anmeldeversuche zu ungleichmäßig verteilt. Ein unbekanntes Gerät im LAN kann ich fast ausschließen, weil ich regelmäßig das LAN nach Geräten und Diensten durchsuche.

Schreibe einen Kommentar zu Rainer Winkler Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.