Plattformen, Palo Alto Networks

Ältere Windows-Systeme in akuter Gefahr durch Remote-Desktop-Exploit

Ältere Windows-Systeme in akuter Gefahr durch Remote-Desktop-Exploit

Palo Alto Networks warnt vor „EsteemAudit“ + Vor Kurzem veröffentlichte die Hacker-Gruppe „Shadow Brokers“ gestohlene Informationen, die mehrere Tools enthielten, um Schwachstellen in verschiedenen Windows-Versionen auszunutzen. Das berühmteste davon ist das Exploit-Tool „EternalBlue“, das angepasst wurde, um den WanaCrypt0r-Wurm beim großem Ransomware-Angriff Anfang Mai zu verbreiten. Ein weiteres Exploit-Tool, das zeitgleich veröffentlicht wurde, ist „EsteemAudit“, das Unit 42, die Forschungsabteilung von Palo Alto Networks, nun näher unter die Lupe genommen hat. EsteemAudit nutzt CVE-2017-9073 aus, eine Sicherheitslücke im Windows Remote Desktop System unter Windows XP und Windows Server 2003.

Beide betroffene Versionen des Betriebssystems werden von Microsoft nicht mehr unterstützt. Der Support für XP wurde im Jahr 2014 eingestellt und für Server 2003 im Jahr 2015, daher hat Microsoft keinen Patch für die Schwachstelle veröffentlicht. Eine Netzwerkschwachstelle wie diese kann mittels einer Wurm-Methode ausgenutzt werden, ähnlich wie die WanaCrypt0r-/WannaCry-Angriffe, die in diesem Monat globale Auswirkungen hatten. 

 

Palo Alto Networks empfiehlt Unternehmen, die sich immer noch auf diese veralteten Betriebssysteme verlassen, sich gegen die Ausnutzung dieser Sicherheitslücke zu schützen. Anderenfalls könnte ein Angreifer im Remote-Modus die Kontrolle über das System übernehmen. Unternehmen, die ihre Systeme nicht aktualisieren können oder keine Schutzmaßnahmen verwenden, sollten insbesondere das Smartcard-Modul über Gruppenrichtlinien oder in der Registry deaktivieren. 

 

RDP-Exploits (Remote Desktop Protocol) gib es bereits lange. Zum Glück war seit der NT4-/Win98-Ära kein Remote-Exploit für Windows RDP öffentlich verfügbar. Nachdem die Forscher von Unit 42 die Grundzüge der Architektur, Komponenten, des Protokolls und der Kommunikation von RDP verinnerlicht hatten, konnten sie sich darauf konzentrieren, was genau die ausführbare Datei EsteemAudit.exe ausnutzt: EsteemAudit.exe dient der Kommunikation mit dem RDP-Server – wie ein RDP-Client entsprechend dem RDP-Protokoll. Es emuliert einen RDP-Client mittels einer Smartcard und sendet eine Anfrage für eine Smartcard-Umleitungsauthentifizierung an den RDP-Server, um ihn zu zwingen, die von EsteemAudit gesendeten Daten und Strukturen mit dem Smartcard-Modul gpkcsp.dll zu verarbeiten, wo die Sicherheitslücke besteht. Die Angreifer führen dabei einem sogenannten Inter-Chunk Heap Overflow in der Smartcard-Komponente gpkscp.dll durch. Die Ausnutzung dieser Schwachstelle ist komplex, aber das EsteemAudit-Tool ermöglicht es auch Anfängern, dies zu tun.

 

RDP ist eine sehr nützliche, aber auch sehr komplexe Komponente von Windows. Basierend auf der Analyse des EsteemAudit-Exploits haben die Forscher von Unit 42 herausgefunden, dass einige Anstrengungen nötig waren, um einen erfolgreichen Exploit zu erstellen. In jedem Fall steht mit EsteemAudit nun ein zuverlässiges und leistungsstarkes RDP-Exploit-Tool für Windows XP und Windows 2003 zur Verfügung. 

 

CVE-2017-9073 existiert nur auf Windows Server 2003 und Windows XP.  Beide Betriebssysteme werden nicht mehr von Microsoft unterstützt und somit ist kein offizieller Patch verfügbar. Unternehmen sollten daher im Optimalfall ein Upgrade auf eine neuere Windows-Version vornehmen. Da diese Sicherheitslücke jedoch das Smartcard-Modul gpkcsp betrifft, gibt es jedoch mögliche Behelfslösungen. 

<< Erste < Vorherige 1 2 Nächste > Letzte >>