![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die Windows-Remoteunterst\u00fctzung erm\u00f6glicht das Senden von Remoteunterst\u00fctzungsangeboten. Allerdings kann diese Funktion auch missbraucht werden, um kritische Dateien vom Windows-System eines Opfers abzuziehen. Die Sicherheitsl\u00fccke ist nicht sehr gravierend und wurde im M\u00e4rz 2018 gepatcht. Aber Administratoren sollten das Thema schon kennen und einsch\u00e4tzen k\u00f6nnen <\/p>\n
<\/p>\n
Jede Windows-Version seit Windows XP enth\u00e4lt die Windows-Remoteunterst\u00fctzung, \u00fcber die anderen Benutzern Unterst\u00fctzung bei der Behebung von Computerproblemen angeboten werden kann. <\/p>\n
![\"Windows-Remoteunterstützung\"](\"https:\/\/i.imgur.com\/bn8XWoL.jpg\"\/ "\\"Windows-Remoteunterstützung\\"")
<\/p>\n
1. Zum Aufrufen reicht es, Remote<\/em> im Suchfeld des Startmen\u00fcs oder der Startseite oder Windows 10-Taskleiste einzutippen und den Befehl anzuw\u00e4hlen.<\/p>\n 2. Anschlie\u00dfend kann einer Person Hilfe geboten werden (wenn diese eine Einladung ausgesprochen hat) oder eine vertrauensw\u00fcrde Person zur Unterst\u00fctzung eingeladen werden.<\/p>\n Das Ganze wird \u00fcber Einladungsdateien abgewickelt, die der Einladende dem eingeladenen \u00fcbermittelt. Eigentlich eine nette Funktion, die ich aber nie praktisch benutzt habe (au\u00dfer in den F\u00e4llen, wo ich das kurz in meinen Windows-B\u00fcchern beschreiben musste). Microsoft hat hier<\/a> die Funktionalit\u00e4t ebenfalls in einem KB-Artikel beschrieben. So weit so gut. Wichtig ist mir an dieser Stelle auf den Text 'vertrauensw\u00fcrde Person' zu achten. <\/p>\n Der belgische Sicherheitsforscher Nabeel Ahmed entdeckte im Februar letzten Jahres eine Schwachstelle CVE-2018-0878 (gel\u00f6scht) in dieser Funktion und meldete sie im Oktober 2017 an Microsoft. <\/p>\n Windows Remote Assistance in Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1 and RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and 1709, Windows Server 2016 and Windows Server, version 1709 allows an information disclosure vulnerability due to how XML External Entities (XXE) are processed, aka \"Windows Remote Assistance Information Disclosure Vulnerability\".<\/p>\n<\/blockquote>\n Bleeping Computer weist hier<\/a> auf das Problem hin. Die Einladungsdatei Invitation.msrcincident<\/em> f\u00fcr die Remoteunterst\u00fctzung ist intern eine XML-Datei mit diversen Konfigurationsinformationen. In diesem Blog-Beitrag<\/a> beschreibt Nabeel Ahmed nun die Interna der XML-Datei und wie sich diese Datei durch Anpassung der XML-Werte manipulieren l\u00e4sst. Er demonstriert, wies ich beispielsweise der Inhalt der Datei: <\/p>\n C:\\Windows\\win.ini<\/em><\/p>\n an den Einladenden senden l\u00e4sst. Der MSXML3-Parser erkennt wohl nicht diese Versuche, so dass der Ansatz sich prinzipiell nutzen l\u00e4sst, um auf alle Dateien, die vom aktuellen Benutzer erreichbar sind, abzurufen. <\/p>\n Microsoft hat beim M\u00e4rz 2018 Patch-Dienstag die Schwachstelle CVE-2018-0878 (gel\u00f6scht) offen gelegt. Bez\u00fcglich der Sicherheitsl\u00fccke gilt:<\/p>\n CVE-2018-0878 (gel\u00f6scht) beschreibt eine Schwachstelle, die die Offenlegung von Informationen erm\u00f6glicht, wenn die Windows Remote Assistance im Rahmen der Anforderung die XML External Entities (XXE) falsch verarbeitet. Ein Angreifer, der die Sicherheitsl\u00fccke erfolgreich ausnutzt, kann Informationen erhalten, um das System des Benutzers weiter zu gef\u00e4hrden.<\/p>\n<\/blockquote>\n Um diese Bedingung auszunutzen, m\u00fcsste ein Angreifer eine speziell gestaltete Remote Assistance-Einladungsdatei an einen Benutzer senden. Ein Angreifer k\u00f6nnte dann Textdateien von bekannten Orten auf dem Rechner des Opfers im Kontext des Benutzers stehlen. Oder er bekommt Zugriff auf alternativ Textinformationen von URLs, die f\u00fcr das Opfer zug\u00e4nglich sind. <\/p>\n Die gestohlenen Informationen k\u00f6nnen als Teil der URL in HTTP-Requests an den Angreifer \u00fcbermittelt werden. In allen F\u00e4llen h\u00e4tte ein Angreifer keine M\u00f6glichkeit, einen Benutzer zu zwingen, den vom Angreifer kontrollierten Inhalt zu sehen. Stattdessen m\u00fcsste ein Angreifer einen Benutzer davon \u00fcberzeugen, etwas zu unternehmen.<\/p>\n Das Risiko ist aber begrenzt, da die Sicherheitsl\u00fccke bei der Offenlegung von Informationen allein nicht ausreicht, um ein System zu gef\u00e4hrden. Microsoft schreibt: Ein Angreifer k\u00f6nnte diese Schwachstelle jedoch mit zus\u00e4tzlichen Schwachstellen kombinieren, um das System weiter auszunutzen.<\/p>\n In den M\u00e4rz 2017-Update wird die Sicherheitsanf\u00e4lligkeit jedoch behoben. Die Art, wie Windows Remote Assistance die XML External Entities (XXE) verarbeitet (der MSXML3-Parser), wurde entsprechend modifiziert.<\/p>\n Man kann die Remoteunterst\u00fctzung abschalten, indem man die Tastenkombination Windows + Pause <\/em>dr\u00fcckt. Im Fenster Basisinformationen \u00fcber den Computer anzeigen <\/em>w\u00e4hlt man in der Aufgabenleiste links den Befehl Erweiterte Systemeinstellungen<\/em>. Dieser Befehl erfordert administrative Berechtigungen zum Aufruf. <\/p>\n Dort ist die Markierung des Kontrollk\u00e4stchens Remoteunterst\u00fctzungsverbindungen mit diesem Computer zulassen<\/em> aufzuheben. Dann ist sichergestellt, dass ein Nutzer solche Remote-Anforderungen zulassen kann. <\/p>\n \u00c4hnliche Artikel:<\/strong> Die Windows-Remoteunterst\u00fctzung erm\u00f6glicht das Senden von Remoteunterst\u00fctzungsangeboten. Allerdings kann diese Funktion auch missbraucht werden, um kritische Dateien vom Windows-System eines Opfers abzuziehen. Die Sicherheitsl\u00fccke ist nicht sehr gravierend und wurde im M\u00e4rz 2018 gepatcht. Aber Administratoren sollten das Thema schon … Weiterlesen ![\"Windows-Remoteunterstützung\"](\"https:\/\/i.imgur.com\/l2myHzi.jpg\"\/ "\\"Windows-Remoteunterstützung\\"")
<\/p>\nSchwachstelle in Windows-Remoteunterst\u00fctzung<\/h2>\n
\n
CVE-2018-0878 im M\u00e4rz 2018 geschlossen<\/h2>\n
\n
Remoteunterst\u00fctzung abschalten<\/h2>\n
![\"Remote-Eigenschaften\"](\"https:\/\/i.imgur.com\/nXOIYaj.jpg\"\/ "\\"Remote-Eigenschaften\\"")
<\/p>\n
Microsoft Patchday Summary 13. M\u00e4rz 2018<\/a>
Sicherheits-Updates f\u00fcr Windows 7\/8.1<\/a> (13. M\u00e4rz 2018)
Patchday: Windows 10-Updates 13. M\u00e4rz 2018<\/a>
Microsoft Office Patchday (13. M\u00e4rz 2018)<\/a>
Patchday: Windows 10-Updates 13. M\u00e4rz 2018<\/a>
CredSSP-Sicherheitsl\u00fccke in RDP unter Windows<\/a>
Patchday: Weitere Microsoft Updates zum 13. M\u00e4rz 2018<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"