Windows: Reverse RDP-Angriffe in Dritt-Software möglich

[English]Eine schlechte gepatchte Schwachstelle CVE-2019-0887 in Windows führt dazu, dass die Systeme über RDP-Anwendungen von Drittanbietern angreifbar sind. Dabei könnte auch ein Client, über den die RDP-Verbindung hergestellt wird, durch Malware auf dem Remote-Rechner angegriffen werden.


Anzeige

RDP-Schwachstelle CVE-2019-0887 in Windows

Zum Juli 2019-Patchday wurden von Microsoft die Remote Desktop Services Remote Code Execution-Schwachstelle mit Sicherheitsupdates geschlossen. Microsoft hatte in diesem Dokument Informationen zur Schwachstelle veröffentlicht.

In Remote-Desktop-Diensten – früher als Terminaldienste bekannt – besteht eine Remote Code Execution-Schwachstelle, wenn ein authentifizierter Angreifer die Umleitung der Zwischenablage missbraucht. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte auf dem System des Opfers beliebigen Code ausführen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

Um diese Schwachstelle auszunutzen, muss ein Angreifer bereits ein System kompromittiert haben, auf dem Remotedesktopdienste ausgeführt werden, und dann warten, bis ein Opfersystem eine Verbindung zu den Remotedesktopdiensten herstellt.

Microsoft hatte ein Update freigegeben, welches die Schwachstelle beheben sollte. Allerdings schloss der Patch die Schwachstelle nur unzureichend. Ich hatte im August 2019 den Blog-Beitrag Risiko für Hyper-V durch RDP-Schwachstelle dazu veröffentlicht. Dort ging es darum, dass eine Schwachstelle im Remote Desktop Protocol (RDP) von Microsoft ausgenutzt werden kann, um aus Gast-VMs, die auf Hyper-V in Windows 10/Azure laufen, auszubrechen.

Neues Problem bei Drittanbieter RDP-Lösungen

The Hacker News wies bereits vor einigen Tagen darauf hin, dass im Juli 2019 unvollständig gepatchte Schwachstelle CVE-2019-088 ein Risiko darstelle. Es stellte sich heraus, dass Sicherheitsforscher den Patch umgehen konnten, indem sie einfach die rückwärts gerichteten Schrägstriche in den Pfaden durch vorwärts gerichtete Schrägstriche ersetzten.

Microsoft räumte die unsachgemäße Korrektur ein und hat den Fehler in seinem Sicherheitsupdate vom Februar 2020 Anfang erneut gepatcht. Die Schwachstelle wird jetzt als CVE-2020-0655 geführt.


Anzeige

Sicherheitsforscher von Check-Point haben nun aufgedeckt, dass Microsoft das obige Problem durch Hinzufügen eines separaten Workarounds in Windows behoben hat. Allerdings ließ man die eigentliche Ursache in der API-Funktion "PathCchCanonicalize", unverändert.

Offenbar funktioniert die Microsoft-Lösung für den in Windows integrierten RDP-Client ganz gut. Aber der Patch ist nicht idiotensicher genug, um andere RDP-Clients von Drittanbietern vor demselben Angriff zu schützen. Sobald diese die API-Funktion einsetzen, ist das System anfällig.

Microsoft Patch lässt sich umgehen

"Wir haben herausgefunden, dass ein Angreifer nicht nur Microsofts Patch umgehen kann, sondern dass er auch jede Überprüfung der Kanonisierung umgehen kann, die nach Microsofts Best Practices durchgeführt wurde", sagte der Check-Point-Forscher Eyal Itkin in einem Bericht, den er The Hacker News zur Verfügung stellte.

Ein 'path traversal '-Angriff ist möglich, wenn ein Drittanbieter RDP-Programm eine Datei als Eingabe akzeptiert, und diese nicht verifiziert. Das ermöglicht es einem Angreifer die Datei an einem beliebigen Ort auf dem Zielsystem zu speichern.  und so den Inhalt von Dateien außerhalb des Stammverzeichnisses der Anwendung freizulegen. "Ein mit Malware infizierter Remote-Rechner könnte jeden Client übernehmen, der versucht, eine Verbindung zu ihm herzustellen. Wenn zum Beispiel ein IT-Mitarbeiter versucht, eine Verbindung zu einem entfernten Firmencomputer herzustellen, der mit Malware infiziert ist, könnte die Malware auch den Computer des IT-Mitarbeiters angreifen", schreiben die Sicherheitsforscher.

Die Sicherheitsforscher haben den Fehler gefunden, als sie versuchte, Microsofts Remote-Desktop-Client für Mac zu untersuchen. Dieser RDP-Client wurde in der ersten Analyse in 2019 ausgelassen. Interessanterweise ist der macOS-RDP-Client an sich nicht anfällig für CVE-2019-0887. Da die Hauptschwachstelle immer noch nicht behoben ist, warnte Check Point davor, dass diesein ernstes Risiko für viele andere RDP-Softwareprodukte darstellen kann.

"Microsoft hat es versäumt, die Schwachstelle in seiner offiziellen API zu beheben, so dass alle Programme, die nach Microsofts Best Practices geschrieben wurden, immer noch anfällig für einen Path-Traversal-Angriff sind", sagte Omri Herscovici von Check Point. "Wir wollen, dass sich die Entwickler dieser Bedrohung bewusst sind, damit sie ihre Programme durchgehen und manuell einen Patch dagegen anwenden können".


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Windows: Reverse RDP-Angriffe in Dritt-Software möglich

  1. Caro sagt:

    "Zum Juli 2020-Patchday …" – den gab es nach meiner Zeitrechnung noch nicht, wahrscheinlich ist 2019 gemeint

  2. Martin Feuerstein sagt:

    Günters Glaskugel kann Sicherheitslücken vorhersehen: "Zum Juli 2020-Patchday wurden von Microsoft die Remote Desktop Services Remote Code Execution-Schwachstelle mit Sicherheitsupdates geschlossen."

    Spaß beiseite, im Artikel wird ja auch eine Lücke vom letzten Jahr genannt :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.