Es wurde eine gefährliche Sicherheitsanfälligkeit im RDP-Protokoll bekannt: Microsoft hat
einen Notfall-Patch für die Sicherheitsanfälligkeit mit der Kennung CVE-2019-0708 vorbereitet, mit dem beliebiger Code auf dem Zielsystem ausgeführt werden kann.
In Remotedesktopdiensten (früher als Terminaldienste bezeichnet) liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor, wenn ein nicht authentifizierter Angreifer über RDP eine Verbindung zum Zielsystem herstellt und speziell gestaltete Anforderungen sendet. Diese Sicherheitsanfälligkeit verwendet die Vorauthentifizierung und erfordert keine Benutzerinteraktion. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code auf dem Zielsystem ausführen.
Die Sicherheitsanfälligkeit (CVE-2019-0708) liegt in der Komponente "Remotedesktopdienste", die in unterstützten Windows-Versionen wie Windows 7, Windows Server 2008 R2 und Windows Server 2008 integriert ist. Sie ist auch auf Computern mit Windows XP und Windows XP vorhanden Windows 2003, Betriebssysteme, für die Microsoft vor langer Zeit den Versand von Sicherheitsupdates eingestellt hat.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer eine speziell gestaltete Anforderung über RDP an den Remotedesktopdienst der Zielsysteme senden.
Eine interessante Tatsache ist, dass diese oder eine ähnliche Sicherheitsanfälligkeit seit mindestens September letzten Jahres im Darknet verkauft wurde:
VERKÄUFER, [30.09.18 12:54]
RDP RCE Exploit
Beschreibung:
Dies ist ein Fehler im RDP-Protokoll.
Das bedeutet, dass Sie Windows remote ausnutzen können, das RDP aktiviert.
Schwachstellentyp:
Haufenüberlauf
betroffene Versionen:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Berechtigungsstufe erhalten:
SYSTEM-Privileg
Zuverlässigkeit:
90% für einen Kern / 30% für mehrere Kerne
Nutzungsdauer:
etwa 10 Sekunden
Möglicher Käufer, [30.09.18 12:58]
betroffene Versionen:
Windows 2000 / XP / 2003 / Vista / 7/2008 (R2)
Lol
Möglicher Käufer, [30.09.18 12:58]
ist es Pre-Auth oder Post-Auth vuln?
VERKÄUFER, [30.09.18 12:59]
Pre
Möglicher Käufer, [30.09.18 12:59]
für wie viel verkaufen sie / er / sie es?
VERKÄUFER, [30.09.18 12:59]
500
VERKÄUFER, [30.09.18 12:59]
Geteilt
Möglicher Käufer, [30.09.18 12:59]
500.000 USD?
VERKÄUFER, [30.09.18 13:00]
Sie können also davon ausgehen, dass es einige Male verkauft wurde
VERKÄUFER, [30.09.18 13:00]
Ja
Die Ausnutzung dieser Sicherheitsanfälligkeit ermöglicht das Schreiben von Malware ähnlich WannaCry, die vor
genau zwei Jahren entdeckt wurde .
Diese Sicherheitsanfälligkeit ist eine Vorauthentifizierung und erfordert keine Benutzerinteraktion. Mit anderen Worten, die Sicherheitsanfälligkeit ist "wurmbar". Dies bedeutet, dass sich zukünftige Malware, die diese Sicherheitsanfälligkeit ausnutzt, auf ähnliche Weise wie die 2017 weltweit verbreitete WannaCry-Malware von einem anfälligen Computer auf einen anfälligen Computer ausbreiten kann.
Die Sicherheitsanfälligkeit ist so schwerwiegend, dass Microsoft Patches auch für nicht unterstützte Versionen des Betriebssystems veröffentlicht hat - Windows XP und Windows 2003.