BlueKeep: Wie steht’s um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows

[English]Wie steht es eigentlich um die Schwachstelle CVE-2019-0708 in den Windows Remote Desktop Diensten, für die Microsoft am 14. Mai 2019 Updates von Windows XP bis Windows 7 freigegeben hat? Gibt es Exploits? Gibt es Tools, um zu testen, ob eine Umgebung verletzbar ist?

Zum Hintergrund der Schwachstelle CVE-2019-0708

In den Remote Desktop Services – früher bekannt als Terminal Services – besteht eine gravierende Schwachstelle mit der Bezeichnung CVE-2019-0708. Ein nicht authentifizierter Angreifer kann sich über spezielle Anfragen über RDP mit einem Zielsystem verbinden. Das Problem ist, dass der Angreifer sich nicht zu authentifizieren braucht, um Zugriff auf das System zu erhalten.

Ein Angreifer, der diese Schwachstelle erfolgreich ausgenutzt hat, könnte beliebigen Code auf dem Zielsystem ausführen. Dazu gehört auch, Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen sowie neue Konten mit vollen Benutzerrechten zu erstellen. Diese kritische Schwachstelle existiert in folgenden Windows-Versionen:

• Windows XP
• Windows Server 2003
• Windows Vista
• Windows 7
• Windows Server 2008
• Windows Server 2008 R2

Ab Windows 8 ist die Schwachstelle im Remote Desktop-Dienst nicht mehr vorhanden. Zum 14. Mai 2019 veröffentlichte Microsoft ein Sicherheitsupdate für ältere Windows-Versionen, von Windows XP bis Windows 7, welches die kritische Schwachstelle CVE-2019-0708 im Remote Desktop Services schließt.

Ich hatte im Blog-Beitrag Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2 über diese Schwachstelle berichtet. Zudem gab es eine Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI), die eine ähnliche Gefahr wie bei der Schwachstelle, die für den WannaCry-Ausbruch verantwortlich war, sah. Ich hatte dies im Blog-Beitrag WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows thematisiert. Dort habe ich auch die benötigten Updates zum Patchen der Schwachstelle verlinkt – für nicht so erfahrene Nutzer vielleicht ganz hilfreich.

Wie steht es mit BlueKeep-Exploits?

Der Schwachstelle CVE-2019-0708 wurde inzwischen die Bezeichnung BlueKeep verpasst. Sicherheitsforscher rechneten damit, dass binnen Stunden oder Tagen funktionierende Exploits verfügbar sein werden. Sicherheitsforscher Kevin Beaumont (@GossiTheDog) hat sich dieses Themas angenommen und auf Twitter einige Informationen veröffentlicht. Bis zum Ende letzter Woche gab es keine Anzeichen, dass irgend ein RDP-Exploit praktisch für Angriffe ausgenutzt wurde.

Researchers at Mcafee and Zerodium both have working exploits for this. Neither have released technical details. There are no publicly available exploits at this stage, nor evidence of exploitation in wild.

— Kevin Beaumont (@GossiTheDog) 19. Mai 2019

Laut obigem Post vom letzten Sonntag haben Mc Afee und Zerodium funktionsfähige Exploits. Aber diese sind nicht öffentlich bekannt und es gibt auch keine Details dazu.

Kaspersky dude has blue screen of death https://t.co/QQ2J2RRTQC

— Kevin Beaumont (@GossiTheDog) 20. Mai 2019

Bei Kaspersky hat man sich am Thema versucht, und es bisher nur geschafft, mit manipulierten RDP-Nachrichten einen BlueScreen auszulösen, wie obiger Tweet nahelegt. Laut Beaumont gibt es bisher nur einen funktionierenden Exploit auf GitHub, der Rest ist wohl als Fake zu betrachten.

Ein erster Netzwerktest auf BlueKeep-Exploits

Interessant ist wohl, dass das Vulcan Team des chinesischen Sicherheitsanbieters Qihoo 360 ein Remote Scan-Tool entwickelt hat, mit dem sich ein Netzwerk darauf scannen lässt, ob es über die Schwachstelle CVE-2019-0708 über BlueKeep-Exploits angreifbar ist.

CVE-2019-0708 remote scan tool by 360Vulcan team. Detect the recent RDP bug via RDP packet behavior, without trigger the final bug path(no BSOD or any side effect on the target system), ask for it to scan your network by sending mail to cert at https://t.co/bf3ebtruY0 pic.twitter.com/0roL3SGTbJ

— mj0011 (@mj0011sec) 20. Mai 2019

Laut obigem Tweet kann dieses Remote Scan-Tool ein Netzwerk auf Anforderung scannen, ohne dass dies einen BlueScreen oder andere Nebenwirkungen auslöst. Aktuell können Interessierte nur eine E-Mail an 360.cn schicken und um einen Netzwerk-Scan nachfragen. Geht aber wohl nur für zahlende Kunden, die des chinesischen mächtig sind. Es scheint also, als ob Netzwerke noch einige Tage von einer BlueKeep-Angriffswelle verschont bleiben – und allgemein verfügbare Test-Tools gibt es wohl auch noch nicht.

Ergänzung: Ich habe gerade gesehen, dass die Kollegen bei Bleeping Computer auch einen Artikel zum Thema gebracht haben. Es scheinen sich jetzt wohl Exploits anzudeuten – aber so richtig läuft das noch nicht an. Patchen sollte man trotzdem – und das obige 360.cn-Angebot zum Netzwerkscan ist dort auch erwähnt.