Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35142
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von doelf » 31 Mai 2019, 16:18

Am 14. Mai 2019 hatte Microsoft im Rahmen seiner monatlichen Sicherheits-Updates eine kritische Lücke (CVE-2019-0708) in den "Remote Desktop Services", früher als "Terminal Services" bekannt, geschlossen - auch für jene Betriebssysteme, die seit Jahren keine Updates mehr erhalten! Dies alleine unterstreicht, wie ernst die Lage ist. Dennoch entdeckte ein Sicherheitsexperte rund eine Million angreifbarer Windows-Installationen.

Der Angriff funktioniert denkbar einfach über speziell gestaltete RDP-Pakete, die der Angreifer seinem Ziel von außen schickt. Da sich der Fehler auf der Dienstebene befindet, erfolgt das Einschleusen und Ausführen des Schadcodes lange vor der Authentifizierung. Der Benutzer bekommt hiervon nichts mit, es erfolgt keine Warnung und keine Bitte um Bestätigung. Der Angreifer kann beliebigen Code ausführen und somit eigene Programme installieren oder Daten stehlen. Sinnvoller erscheint uns das Anlegen eines neuen Kontos mit uneingeschränkten Benutzerrechten, die dem Angreifer alle Türen öffnen. Da sich diese Schwachstelle hervorragend automatisieren lässt, ist sie ein perfektes Einfallstor für Würmer. Microsoft warnte bereits vor zwei Wochen, dass Angriffe sehr wahrscheinlich sind.

Der Sicherheitsexperte Robert Graham hat nun ein wenig Feldforschung betrieben und konnte mit seinem Tool rdpscan 923.671 angreifbare Windows-Installationen aufspüren. Die Programmierer eines Wurms würden nicht anders vorgehen und könnten diese ungeschützten Systeme in kürzester Zeit übernehmen. Es drohen millionenfache Erpressungen mit verschlüsselten Daten wie bei WannaCry oder Vandalismus wie bei notPetya. Wer dies verhindern will, sollte umgehend die Patches einspielen:
Abhilfe schafft auch das Deaktivieren des Netzwerkprotokolls RDP (Remote Desktop Protocol), denn ohne diesen Dienst werden RDP-Pakete erst gar nicht verarbeitet. Alternativ besteht zudem die Möglichkeit, den für RDP genutzten TCP-Port 3389 am Router zu blockieren, damit die Pakete ihr Ziel nicht erreichen. Doch egal für welchen Weg man sich entscheidet, es bleibt vermutlich nicht mehr viel Zeit, um verwundbare Rechner abzusichern.

Quelle:
https://blog.erratasec.com/2019/05/almo ... le-to.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35142
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von doelf » 31 Mai 2019, 16:23

Ach ja, die CVSS-Bewertung (Basis) liegt bei 9,8 von 10,0 - viel schlimmer geht es nicht!
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35142
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von doelf » 31 Mai 2019, 16:27

Zum Deaktivieren von RDP:

Die Computerverwaltung öffnen und Dienste auswählen.
Nach Remotedesktopdienste suchen und anklicken.
Starttyp auf deaktiviert ändern und bestätigen.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1048
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von Mausolos » 01 Jun 2019, 08:45

Danke für den Tipp!
Ich hatte vor rund zwei Jahren mal ein WinXP-System, bei dem alles blockiert war und die Besitzerin einen Telefonanruf mit ausländischen Akzent bekam: „Windows XP?“

Es könnte sich ja auch schon um einen Angriff per Remote Desktop Service gehandelt haben.
Die entsprechenden Häkchen in der Systemsteuerung entferne ich zwar konsequent bei jedem Windows-System, aber das nützt ja leider nichts. Der Dienst hätte deaktiviert werden müssen. Er nennt sich unter WinXP Remoteprozeduraufruf (RPC).
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35142
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von doelf » 02 Jun 2019, 07:20

ACHTUNG: Es geht um "Remote Desktop Services" bzw. "Terminal Services"!

Remoteprozeduraufruf (RPC) = RpcSs => https://de.wikipedia.org/wiki/Remote_Procedure_Call
Remotedesktop (RDP) = TermSvc => https://de.wikipedia.org/wiki/Remote_Desktop_Protocol

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1048
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von Mausolos » 02 Jun 2019, 10:35

doelf hat geschrieben:
02 Jun 2019, 07:20
Remotedesktop (RDP) = TermSvc
Das finde ich unter WinXP→Systemsteuerung→Verwaltung→Dienste nicht.

Es gibt nur:

RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)
Remote-Registrierung
Routing und RAS
RPC-Locator

Sitzungs-Manager für Remotedesktophilfe

Terminaldienste
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35142
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von doelf » 02 Jun 2019, 12:14

Wie gesagt: Terminal Services / Terminaldienste
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Insider
Insider
Beiträge: 1048
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Akute Gefahr für Windows 7, Vista, XP und Server 2003, 2003 R2, 2008, 2008 R2

Beitrag von Mausolos » 02 Jun 2019, 13:52

Unter WinXP findet sich zu Terminaldienste folgende Beschreibung:
Ermöglicht mehreren Benutzern das Herstellen interaktiver Verbindungen mit anderen Computern, sowie das Anzeigen von Desktop und Anwendungen auf Remotecomputern. Terminaldienste bilden die Grundlage für Remotedesktops (einschließlich RD für Administratoren),
Status: gestartet

Also hier den Starttyp auf Deaktiviert ändern oder das Update
windowsxp-kb4500331-x86-custom-deu_f6b19dd13775e252ee6ca329d911010b90edabbd.exe
installieren.
Linux :)

Antworten