[English]Microsoft hat zum 14. Mai 2019 ein Sicherheitsupdate für ältere Windows-Versionen bis Windows 7 freigegeben, welches eine kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schließt. Die Schwachstelle wird als so kritisch eingestuft, dass auch Windows XP und Windows Server 2003 sowie Windows Vista das Update bekommen. Systeme ab Windows 8 sind nicht betroffen.
Anzeige
Wer noch Systeme mit Windows XP oder Windows Server 2003 oder Windows Vista sowie den noch im Support befindlichen Versionen Windows 7, Windows Server 2008 und 2008 R2 in Netzwerken betreibt, sollte sich die nachfolgenden Informationen gut durchlesen. Denn in diesen Windows-Versionen gibt es eine kritische Schwachstelle CVE-2019-0708 im Remote Desktop-Dienst. Microsoft schätzt das Gefährdungspotential so kritisch ein, wie die Schwachstelle, die seinerzeit die WannaCry-Infektion mit Ransomware ermöglichte.
Schwachstelle CVE-2019-0708 im Remote Desktop-Dienst
Microsoft hat im Sicherheitshinweis CVE-2019-0708 die Details zur Schwachstelle veröffentlicht. In den Remote Desktop Services – früher bekannt als Terminal Services – bestecht eine gravierende Schwachstelle. Ein nicht authentifizierter Angreifer kann sich über RDP mit dem Zielsystem verbinden, indem er speziell entwickelte Anfragen sendet. Dann braucht der Angreifer sich nicht zu authentifizieren, um Zugriff auf das System zu erhalten.
Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Um diese Schwachstelle auszunutzen, reicht es, wenn ein Angreifer eine speziell gestaltete Anfrage per RDP an den Remote Desktop Service des Zielsystems sendet. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:
- Windows XP
- Windows Server 2003
- Windows Vista
- Windows 7
- Windows Server 2008
- Windows Server 2008 R2
Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden.
Anzeige
Wie bekomme ich die Updates?
Windows 7, Windows Server 2008 und Windows Server 2008 R2 erhalten einen Patch zum Schließen der Sicherheitslücke mit den regulären Monthly Rollup oder den Security Online-Updates.
Bei Windows-Versionen, die bereits aus dem Support gefallen sind, muss sich der Anwender selbst um den Download des Updates kümmern.
- Benutzer von Windows Vista können die Updates (Monthly Rollup KB4499149 oder Security Online KB4499180) von Windows Server 2008 aus dem Microsoft Update Catalog herunterladen und manuell installieren.
- Benutzer von Windows XP und Windows Server 2003 finden die entsprechenden Varianten für das Update KB4500331 im Microsoft Update Catalog zum manuellen Download.
Für die zuletzt genannten und aus dem Support gefallenen Betriebssystemversionen hält der KB-Artikel KB4500331 Informationen bereit.
Remote Desktop Services deaktivieren
Sofern die Remote Desktop Services nicht benötigt werden, gäbe es die Möglichkeit, diese zu deaktivieren (Microsoft schreibt: Disable Remote Desktop Services if they are not required).
- Microsoft hat dazu diesen Beitrag Disabling Remote Desktop Services features publiziert.
- Man kann auch den Dienst Remote Desktop Services unter Dienste deaktivieren, wie es in diesem Beitrag skizziert wird.
Im Advisory schlägt Microsoft zudem Workarounds vor, falls man die Sicherheitsupdate nicht sofort unter Windows 7, Windows Server 2008, and Windows Server 2008 R2 installieren kann.
- Enable Network Level Authentication (NLA) on systems running supported editions of Windows 7, Windows Server 2008, and Windows Server 2008 R2
- Block TCP port 3389 at the enterprise perimeter firewall
Ergänzung: Microsoft hat diesen Technet-Beitrag zum Thema veröffentlicht. (via)
Anzeige
Vor einem Monat sollte eigentlich der letzte Patchday für Windows XP Embedded online gegangen sein. Ich hatte schon vor eine DVD mit allen Windows XP und Windows XP embedded Updates sowie anderen Laufzeitkomponenten zu erstellen und sie an der Stelle im Schrank zu lagern wo die Windows XP CD + Produktschlüssel liegt.
Da Microsoft aber immer noch Updates bereitstellt werde ich damit noch ein paar Monate warten und schauen was noch so kommt.
Dass das Update selbst für XP existiert, überrascht dann doch. Muss wohl wirklich sehr leicht auszunutzen zu sein. Und klar, erst über den Terminalservice einen Benutzeraccount anlegen zu können, mit dem man sich anschließend per RDP anmelden kann, das klingt doch wie "wir hängen mal den Schlüssel neben die Haustür an die Wand".
Würde es nicht ausreichen, RDP abzuschalten bzw. den RDP-Service zu deaktivieren? Das wäre OS-unabhängig, egal ob noch im Support oder nicht. Macht natürlich auch nur Sinn, wenn man keinen RDP-Zugriff verwendet.
Ist ja einer der alternativen Workarounds, den Microsoft im verlinkten KB-Beitrag anspricht. Der andere wäre, den benutzten Port zu sperren.
Aber MS empfiehlt auf jeden Fall, die Updates auch bei dieser Mitigation baldmöglist zu installieren.
In den Link habe ich mich latürnich nicht einge(k)linkt… *schäm*
Ist doch kein Problem, 'es lebt der Mensch, solange er irrt' pflegte Dürrenmatt in 'Die Physiker' zu schreiben ;-). Also: Möglichst lange irren, dann wird man steinalt. Oh Mann, wurden wir mit dem Text in der 10. Klasse der Berufaufbauschule vom Deutschlehrer gebimst – ist mir bis heute hängen geblieben ;-).
'es lebt der Mensch, solange er irrt' pflegte Dürrenmatt in 'Die Physiker' zu schreiben
Wunderbar!
Ich habe hier noch einen alten PC, auf dem Win XP 32 Bit inkl. SP3 installiert ist.
Auf diesem habe ich soeben das Sicherheitsupdate für Windows XP SP3 (KB4500331) manuell installiert.
Nach der "erfolgreichen" Installation erhalte ich nun urplötzlich einen "DISK BOOT FAILURE".
Es wird die "System Disk" verlangt.
Ist dieses Prozedere "normal"?
Die System Disk habe ich vorliegen – aber wie soll ich nun verfahren?
Soll nun eine Reparatur mittels der Reparaturkonsole erfolgen?
Vista ist auch betroffen aber dafür gibt es keinen Patch (nein ich nutze kein Vista, nur interessehalber). Vermutlich ist die Anzahl noch aktiver Vista-PCs im Vergleich zu XP für Microsoft zu gering um denen zu helfen.
Zitat aus meinem Text: 'Benutzer von Windows Vista können die Updates (Monthly Rollup oder Security Online) von Windows Server 2008 aus dem Update Catalog herunterladen und manuell installieren.'
Wie es aussieht, konnte ich das Problem mittels der Reparaturkonsole und den Befehlen "fixboot" sowie "fixmbr" beheben.
Dennoch seltsam…. Was kann denn da bei der Installation des KB4500331 für Win XP x86 passiert sein?
Microsoft ist passiert.
"Nach der "erfolgreichen" Installation erhalte ich nun urplötzlich einen "DISK BOOT FAILURE"." … bei meinem Windows Vista-Läppi erschien das Gleiche (Blauer Bildschirm).
Gottlob erschien bei erneutem Start automatisch die Auswahl "Windows normal starten", sowie "Windows Starthilfe (empfohlen)". Mit der "Starthilfe" lief Windows wieder nach einiger Zeit an. Das Update (KB 4499149, Windows Server 2008, Servicepack2, 32bit, x86 basierte Systeme) scheint aber installiert zu sein, zumindest zeigt Windows-Update dies so an. (ist ja hoffentlich die richtige Version für mein Vista Home Basic?)
Und morgen probiere ich es mit meinem alten Win XP-Tower-PC …
Ein Bluescreen sowie ein "Disk Boot Failure" sind aber laut meiner Ansicht NICHT das Gleiche.
Die Festplatte konnte bei mir auch nach diversen Neustarts erst gar nicht gefunden/angesprochen werden.
Es war ein blau hinterlegter Bildschirm, mit etlichen Anweisungen/Informationen und auch "Disk Boot Failure" wurde erwähnt? Wie schon geschrieben, Windows kam gar nicht in das übliche Startprozedere, sondern nach rd. 10 sec. erschien dieser Hinweis.
Vier Maschinen gepatcht, ohne Vorkommnisse.
Und welches Betriebssystem ist jeweils installiert?
Hallo, haben heute das Update auf einem Windows 7 Rechner installiert. Besser gesagt, er hat es selber gemacht, und sich danach einfach neu gestartet. Jezt kommt beim Versuch eine RDP Sitzung aufzubauen der Fehler (Ein interner Fehler ist aufgetreten). Kein RDP zur Serverfarm mehr möglich? Ist das schon bekannt?
MfG
Hallo,
weiß jemand zufällig, ob es ausreichend ist nach der Installation den RDP Dienst neu zu starten anstatt zu rebooten?
Gruß
Joerg