[English]Es scheint, dass Microsoft auch Patches gegen die BlueKeep-Schwachstelle für Raubkopien von Windows XP und Windows 7 anbietet. Und Talos hat einen Blogbeitrag über die Verteidigung gegen verschlüsselte RDP-Angriffen wie BlueKeep veröffentlicht.
Anzeige
BlueKeep-Updates auch für Raubkopien
Nun, unter normalen Umständen würde ich dieses Thema nicht erwähnen. Aber das macht deutlich, wie dringend dieser Fall sein könnte. Letzter Freitag warnte in einem Technet-Blogbeitrag über die BlueKeep-Schwachstelle und empfiehlt, verfügbare Updates zu installieren (siehe meinen Blogbeitrag BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie).
Microsoft bietet Updates von Windows XP bis zu Windows 7 (und betroffenen Servern) – auch wenn Windows XP (und Windows Server 2003) seit vielen Jahren nicht mehr unterstützt wird. Eines der Argumente von Microsoft für ein Upgrade auf neue Windows-Versionen war immer, dass die Unterstützung für Sicherheitsupdates für die älteren Versionen abgelaufen ist. Einige Leute könnten also annehmen, dass Microsoft einen Sperrmechanismus für dieses Sicherheitsupdate für gecrackte Kopien von Windows XP bis Windows 7 einbaut.
Yes, pirate copies of Win XP and Win7 can install the "wormable" BlueKeep security fixes – at least, according to a decade-old promise from a long-gone Microsoft employee. Can you find anything more recent or reassuring? https://t.co/gdIxQGYt1Z
— Woody Leonhard (@AskWoody) 1. Juni 2019
Woody Leonhard weist in obigem Tweet darauf hin, dass sich die Updates auch auf raubkopierten Systemen installieren ließen. Seine Ausführungen sind in diesem Blog-Post zu finden.
Anzeige
BlueKeep und encrypted SSL-Tunnel
Einige RDP-Sitzungen verwenden einen verschlüsselten SSL-Tunnel, um auf einen Host zuzugreifen. BlueKeep (CVE-2019-0708) kann jedoch über einen verschlüsselten SSL-Tunnel genutzt werden. Diese SSL-Verschlüsselung kann die Paketprüfung und die Erkennung eines solchen Angriffs beeinträchtigen.
BlueKeep can be exploit over an encrypted SSL tunnel which may impact inspection. Learn how to protect yourself against this an other encrypted RDP threats with FirePower using our handy guide – https://t.co/pQ8N3wsdv1 #BlueKeep
— Craig Williams (@security_craig) 31. Mai 2019
Craig Williams erwähnte das innerhalb des obigen Tweets und verlinkt den Talos Security-Artikel Using Firepower to defend against encrypted RDP attacks like BlueKeep, der dieses Thema behandelt. Nachdem Microsoft Korrekturen für die Schwachstelle der kritischen Authentifizierung bei der Ausführung von Remote-Code in Remote Desktop Protocol Services (RDP) veröffentlicht hatte, begann Cisco Talos sofort mit der Reverse-Engineering-Arbeit, um festzustellen, wie genau RDP verwundbar war. Sie haben SID 50137 für SNORT® freigegeben, um die Ausnutzung von CVE-2019-0708 und Scanversuchen, die diese Schwachstelle nutzen, korrekt zu blockieren. In dem oben verlinkten Artikel bietet Talos eine Anleitung zur Einrichtung der RDP-Entschlüsselung auf Cisco Firepower, die speziell für Windows Server 2008-Instanzen gilt. In Windows 7 muss der Nutzer wohl mehrere Hürden überwinden (wie Talos erklärt), um angreifbar zu sein – und neuere Windows- sowie Windows Server-Versionen sind nicht anfällig.
Ähnliche Artikel:
Angreifer scannen Windows-Systeme auf BlueKeep-Lücke
Fast 1 Million Windows-Maschinen über BlueKeep-Schwachstelle angreifbar
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitslücke in Windows
Sicherheitupdate für CVE-2019-0708 für Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008/R2
BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows
BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie
Anzeige
Das klingt ja fast unglaublich. Ist Microsoft jetzt unter die Samariter gegangen, dass sogar Raubkopien gepatcht werden?
Kopfschüttel
Soweit ich mich noch erinnern kann, haben sie vor 5 Jahren, bevor die "I Love You-Virus" sich verbreitete, für die Raubkopien von Windows XP ebenfalls Updates bereitgestellt.
Das blöde war, viele hatten damals ihre Rechner vorher nicht gepatcht -> Resultat: Super GAU.
Mal schauen wie es heute ausschaut.
Nach meinem Wissen war vor 19 Jahren Win ME und danach Win2000 das Betriebssystem.
Ich hatte auch eine Raubkopie von Win XP Professional, waren aber jede Menge Bugs drin.
Damals hatte ich aber noch keinen Internet Anschluss.
Woody Leonhard hat es ausgegraben – Microsoft hat über irgend einen Mitarbeiter bereits 2009 erklärt, dass man keine illegalen Kopien von Patches ausschließt. Ist in Europa imho auch kein Problem, sondern eher in Asien. Und wenn da Millionen Zombie-Rechner laufen, wäre es keine gute Idee, wenn das an fehlenden Updates läge.
Gestern ist mir beim erstellen einer neuen Windows7 CD/DVD Image inkl Updates aufgefallen, dass für Windows7 SP1 4 Updates für RDP gibt.
Ich wüschte MS würde alle 4 Updates durch ein All in one Paket ersetzen, da die Updates teilweise aus den Jahren 2014/2015 stammen. Ich jedenfalls bin gespannt wie es weiterläuft
KB2923545
KB2984976
KB3020388
KB3075226
Korrektur: vor 19 Jahren :-)
Statt dieser blödsinnigen Warnungen sollte Microsoft ENDLICH erläutern, WAS getan werden muss – also welche Schritte wie durchgeführt werden müssen – um diese Lücke zu schliessen und wie diese ausgenützt wird.
Einen RDP-Server haben wir z.B. nicht im Einsatz.
Ausserdem sollte Microsoft erklären, wie man anschliessend prüfen kann, dass die Lücke mit Sicherheit geschlossen ist.
Und bitte nicht den Quatsch: Alle auf W10 umsteigen.
Zu 'Ausserdem sollte Microsoft erklären, wie man anschliessend prüfen kann, dass die Lücke mit Sicherheit geschlossen ist.'
Voll d'accord. War meine Rede bei einem der ersten Post von mir zum Thema – ein kleines Tool, welches man auf den Clients oder Servern ausführen kann und was anzeigt: Angreifbar oder keine Gefahr.
Die Testscripts von Kevin Beaumont in einem Docker-Container sind imho schlicht zu komplex und aufwändig, um schnell und einfach eingesetzt zu werden. Eher was für große Firmenumgebungen, wo man das Netz testet. Und das zweite Programm zum Scannen liegt nur als Quellcode vor, welches mit Visual Studio compiliert werden muss.
Am einfachsten wäre es für Privatnutzer und Supporter, die vor einer Maschine sitzen, eine Eingabeaufforderung aufzusetzen und dann folgende Befehle abzusetzen (siehe auch diesen Thread).
systeminfo > check-updates.txt
notepad check-updates.txt
delete check-updates.txt
Der erste Befehl lässt Systeminfo.exe die benötigten Informationen sammeln und in die Datei check-updates.txt im Nutzerprofil speichern. Mit der zweiten Anweisung öffnet man die Datei im Windows-Editor. Dann kann man für die Windows-Version komfortabel nach den Updates über deren KB-Nummer suchen. Die KB-Nummern hat Microsoft im Technet-Beitrag verraten. In der dritten Zeile wird die erzeugte Textdatei wieder gelöscht. Ich habe es gerade mit Windows 7 getestet, läuft hier wie erwartet und bestätigt mir, dass der Security-only Patch installiert wurde.
Die Krux ist leider: Es werden eine ganze Menge Leute so was nicht mit bekommen, egal ob Warnungen erfolgen oder ein Tool zum Testen bereitgestellt wird. Ich spüle das Thema in den Blog, in der Hoffnung, dass ein oder mehrere Schrotschüsse in den Busch vielleicht irgend etwas aufwirbeln, was sonst keine Reaktion getätigt hat. Ansonsten bleibt nur abzuwarten.
Würde mich auch mal interessieren. Vor allem wenn man bedenkt, dass z.B. sämtliche Home-Versionen gar keine Remotedesktopverbindung unterstützen, das gibts nämlich erst ab professional.
Mit "RDP-Server" ist wahrscheinlich kein Terminalserver gemeint, sondern eine Komponente in Windows, die für Remotedesktopverbindungen notwendig ist. Könnte mir auch vorstellen, dass die Home-Versionen diese Komponente installiert haben, diese aber lizenztechnisch beschnitten/deaktiviert ist.
Ansonsten wiederhol ich es gern nochmal: Direkt betroffen sind "nur" die Rechner, die nicht hinter einem NAT-Router hängen (wo die Netzwerkadapter also eine öffentliche IPv4/IPv6-Adresse haben). Hier kann man dann nur hoffen, dass die Windows Firewall auf "öffentlich" steht, wo per Default RDP-Verbindungen blockiert sind.
Ich glaube kaum, dass in so einem Fall die Firewall auf "öffentlich" steht.
Schliesslich nutzen Privatnutzer die Möglichkeit, per Freigabe auf andere Verzeichnisse im Heimnetzwerk zugreifen zu können.
Direkt betroffen sind alle Benutzer, in deren Netz sich mindestens zwei Geräte tummeln – mit etwas Pech greift dann das Smartphone den PC an. Oder auch der PC sich selber. JavaScript kann ja Netzwerkpakete erzeugen…
Auch der Quick Assist (Remotehilfe?), den die Home Edition durchaus hat, benutzt RDP. Mit etwas Pech reicht das, um angreifbar zu sein.
Gut, ist jetzt Wortklauberei, aber das Angriffs-Szenario über Bande eines 2. Gerätes würde ich eher "indirekt betroffen" nennen. Aber du hast schon recht, jedes weitere Gerät im selben Netzwerk erhöht die Angriffschancen.
Remote Assist (oder Remote Unterstützung) nennt sich die Funktion, die du wahrscheinlich meinst. Das kann durchaus sein, dass die Funktion (welche jede Windows-Version inne hat) RDP-Komponenten nutzt und es dadurch es zu einer allgemeinen Anfälligkeit kommt.
Mit dem Tool rdpscan kann man DNS-Namen/IP-Adressen bzw. ganze Netze scannen:
https://github.com/robertdavidgraham/rdpscan
Ich habe mal ein kleines How To geschrieben, welches einige Prüfmöglichkeiten skizziert.
How To: BlueKeep-Check für Windows